[ASA防火墙NAT新版老版的配置方法对比.docx

ASA 8.3 以后，NAT 算是发生了很大的改变，之前也看过8.4 的ASA，改变的还有VPN，加入了Ikev2 。MPF 方法加入了新的东西，QOS 和策略都加强了，这算是Cisco 把CCSP 的课程改为CCNP Security 的改革吧！拓扑图就是上面的，基本配置都是一样，地址每个路由器上一条默认路由指向ASA。基本通信没问题，关于8.3 以后推出了两个概念，一个是network object 它可以代表一个主机或者子网的访问。另外一个是service object，代表服务。1、地址池的形式的NAT 配置老版本代表一个 的地址池转换成-54 一对一的转换nat (inside) 1 global (outside) 1 -54新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# exitciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 54ciscoasa(config-network-object)# exitciscoasa(config)# object network insideciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pool其实，刚开始接触也挺不习惯的，不过弄懂了就习惯了，它的意思是先定义两个object，一个用于代表转换前的地址范围，一个是转化后的地址范围，最后在转换前的object 进行调用转化后的object。由于地址不是一一对应的，所以这里它就自动选择了。这里为了清楚表达要在需要的地方调用这个策略，所以输入了两次object network inside， 其实我们看先创建一个地址池，然后在创建一个需要转换的范围，然后在这个object 里面调用。2、动态PAT，多对一的配置老配置里面可以根据一个地址或者直接跟interface 参数来做nat (inside) 1 global (outside) 1 or interface新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic interface这个策略最简单，就在需要转换的地址进行NAT 配置，这里调用interface 作为转换。如果是一个单一的地址话。ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pat 调用outside-pat 策略用 做PAT转换成 出去了3、Static NAT 一对一转换老版本，用于服务器公布出去static (inside,outside ) 新版本(Network object NAT)ciscoasa(config)# object network DMZciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (dmZ,outside) static ciscoasa(config)# access-list 100 permit tcp any host eq telnetciscoasa(config)# access-group 100 in interface outside外部访问DMZ 没问题，但是这里注意的是在8.3 以前的版本是需要放行转换后的地址，而8.3 以后，是放行真实的地址，也就是内部地址。这里还可以用一个obejct 来单独设置一个地址，然后在调用。另外如果是http 的转换或者邮件这些依赖DNS 解析的服务话，而内部有是通过公网地址访问的话，那么就加个DNS 参数n