配置思科防火墙介绍内部NAT与外部NAT

网络拓扑如下图:防火墙左侧为inside网络,网段10.100.1.x/24,其中有一台主机IP为10.100.1.2;右侧为outside网络,网段为209.165.202.x/28,有一台主机IP为209.165.202.129。

NAT转换实例图

NAT转换实例图

?
1、下面的命令为一个动态内部NAT转换:

global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0

当inside网络中10.100.1.0/24网段的主机向outside网络的主机发送IP报文时,源IP地址由10.100.1.0/24网段的IP变为209.165.202.140-209.165.202.141范围的某个IP,并为这次转换建立转换表。
当outside网络中有主机向209.165.202.140-209.165.202.141网段发送IP报文(即目的地址为209.165.202.140-209.165.202.141网段的IP地址)时(路由下一跳指向inside网络),则将查找到之前建立的转换表,并根据转换表将目的地址逆向转换为10.100.1/24中的某IP。

2、下面的命令为一个静态内部NAT转换:

static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0

当inside网络中IP为10.100.1.2的主机向outside网络的主机发送IP报文时,源IP地址由10.100.1.2变为209.165.202.135,并为这次转换建立转换表。
当outside网络中有主机向209.165.202.135这个地址发送IP报文(即目的地址为209.165.202.135)时(路由下一跳指向inside网络),则将查找到之前建立的转换表,并根据转换表将目的地址转换为10.100.1.2。

3、下面的命令为一个静态外部NAT转换:

static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0

当outside网络中IP为209.165.202.129的主机向inside网络的主机发送IP报文时,源IP地址由209.165.202.129变为10.100.1.3,并为这次转换建立转换表。
当inside网络中有主机向10.100.1.3这个地址发送IP报文(即目的地址为10.100.1.3)时(路由下一跳指向outside网络),则将查找到之前建立的转换表,并根据转换表将目的地址转换为209.165.202.129。
当然,对于外部NAT转换,要允许outside网络访问inside网络,还需要ACL允许,对于本例就是:

access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0
access-group 101 in interface outside

如何区分一个NAT转换是内部转换还是外部转换?

对于动态NAT来说,nat命令中指定的接口的安全级别比global命令中指定的接口的安全级别高,即为内部NAT转换。global命令中指定的接口的安全级别比nat命令中指定的接口的安全级别高,即为外部NAT转换。

对于静态NAT来说,static命令关键字后面的小括号中,前面的接口安全级别比后面接口的安全级别高时,为一个静态内部NAT转换,当后面的接口安全级别比前面的接口的安全级别高时,为一个静态外部NAT转换。

内部转换是转换出站流量的源IP,转换入站流量的目的IP。外部转换正相反,是转换入站流量的源IP,转换出站流量的目的IP。内部NAT转换直接即可打通流量,而外部NAT由于安全级别的限制,必须先在外部接口上用ACL允许入站的外部流量。

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>