思科nat source staticc nat和global nat谁的优先极高

来源:蜘蛛抓取(WebSpider) 时间:2017-09-25 03:31 标签: nat static 配置
思科NAT详解;6.16网络地址转换(NAT);NAT也称为IP地址伪装,可以用来将在一个网络(;NAT设备会执行以下两个进程;1.用一个映射的地址取代一个真实的地址,这个映射;2.为返回流量执行反向地址转换;防火墙状态化监控会通过维护一个转换表来跟踪所有穿;6.16.1NAT控制(NATControl);防火墙始终是最应支持NAT的设备,因为它要最大程;当
思科NAT详解
网络地址转换(NAT)
NAT也称为IP地址伪装,可以用来将在一个网络(内部网络)中使用的IP地址转换成在另一个网络(外部网络)中使用的IP地址。NAT技术主要用于隐藏内部网络的IP地址(使用RFC 1918私有地址)。这种伪装技术可以用来隐藏真实的网络身份,因此可以视为一种安全技术。
NAT设备会执行以下两个进程。
1.用一个映射的地址取代一个真实的地址,这个映射地址是在目的网络中可路由的地址。
2.为返回流量执行反向地址转换。
防火墙状态化监控会通过维护一个转换表来跟踪所有穿越安全设备的连接,同时通过这个列表,设备可以查找到数据包先前出站请求时的源地址,以此来验证入站数据包的目的地址并将它转发过去。
NAT控制(NAT Control)
防火墙始终是最应支持NAT的设备,因为它要最大程度地保障网络的灵活性和安全性。在最新版本的安全设备上,它可以实现NAT控制功能。
当外部通信需要用到地址转换规则的时候,NAT控制功能会接管防火墙,并且确保地址转换行为与7.0之前的版本是一致的。
NAT控制特性按照如下方式工作。
如果禁用NAT控制功能,防火墙在没有配置NAT规则的情况下会转发所有从较高安全级别接口(如内部接口)去往较低安全级别接口(如外部接口)的流量。当流量从较低安全级别接口去往较高安全级别接口时,防火墙只会放行那些能够与访问列表匹配的流量。在这种模式下,不需要配置NAT规则。
如果启用NAT控制功能,设备会使用NAT(这种情况下必须配置NAT)来匹配需求。当NAT控制功能启用时,从较高安全级别接口(如内部接口)去往较低安全级别接口(如外部接口)的数据包也必须匹配某条NAT规则,否则这个数据包就会被丢弃(把nat命令与global或static命令结合使用)。从较低安全级别接口去往较高安全级别接口的流量也需要进行NAT转换,而访问列表中有匹配项的流量可以通过防火墙并得到转发。
设备在默认情况下的配置为no nat-control(即NAT控制禁用模式)。在7.0及后续版本中,这个配置可以根据需要进行修改。
若打算启用NAT控制功能,要在全局配置模式下输入nat-control,如下所示。
1. hostname(config)# nat-control
注释:路由防火墙模式的单模和多模两种模式都支持nat-control命令。
当启用了nat-control时,每个内部地址都必须具有一个相应的内部NAT规则。同样,如果在一个接口上启用了外部动态NAT,那么每个外部地址也必须要有一个相应的外部NAT规则才能通过防火墙。
在默认情况下,NAT控制功能是禁用的(命令为no nat-control)。命令no nat-control可使内部主机在防火墙上没有NAT规则的情况下就可以与外部网络通信。从本质上讲,安全设备在NAT功能被禁用的情况下不会对任何数据包执行地址转换功能。要在全局禁用NAT控制,可以在全局配置模式下使用命令no nat-control。
1. hostname(config)# no nat-control
no nat-control和nat 0(identity NAT)这两条命令是有区别的。identity NAT需要流量始发于高安全级别的接口。而命令no nat-control则没有这方面的要求,而且也不需要使用static命令放行来自低安全级别接口(从外部接口到内部接口)的流量;它只需要配置一条访问策略--例如,放行能够与ACL匹配且存在相应路由条目的流量。
下面进行一下总结,流量从较高安全级别的接口去往较低安全级别的接口。
被标识为出站流量。
防火墙会放行所有IP流量,除非访问列表、认证或授权对该流量进行了限制。 至少需要使用以下命令之一。
--nat、nat 0、global、static。
流量从较低安全级别的接口去往较高安全级别的接口
被标识为入站流量。
从外部到内部的连接。
需要进行入站流量的放行。
防火墙会丢弃所有数据包,除非在其到达的接口下应用了access-list,并明确要求放行该数据包。如果使用了认证和授权,则还会有进一步的流量限制。
至少需要使用以下命令之一。
--加载ACL的nat 0、static和入站接口入站方向的access-list。
NAT有很多类型,安全设备上可以配置的有以下类型。
动态端口地址转换(PAT)。
动态NAT可以将一组真实(私有)地址转换成公网地址,这些公网地址都是从一个注册(公网)地址的地址池中取出来的,所有公网地址都是在目标网络上可路由的。当主机向特定目的发起连接时,安全设备会根据NAT规则映射的地址池转换主机源地址。在连接没有断开之前,设备会一直维护这个地址转换,当会话终止时,这个地址转换才会被清除。当同一台主机发起了另一个连接,不能保证它还能从地址池中获得相同的地址。地址池地址的分配遵循先到先得的原则。所以,鉴于转换后的地址会发生变化,当使用动态NAT时,目的网络的用户就无法发起入站连接。动态NAT和PAT都只能用于单向连接。图6-10所示为动态NAT的工作方式。
动态PAT会把一组真实(私有)地址转换入一个单一的IP地址,方法是使用这个映射的IP地址和源端口号的组合,从而产生一个唯一的会话。因此,每个会话都有着不同源端口号,而所有这些端口号不同的数据包使用的都是同一个IP地址。安全设备会把源地址和源端口号(第3层信息与第4层信息的组合)转换成映射的地址和一个大于1024的唯一端口号。 每个连接所进行的转换都是不同的,因为这些连接的源端口号各不相同。在连接没有断开之前,设备会一直维护这个地址转换,当会话终止时,这个地址转换才会被清除。但端口转换会在闲置时间超过30秒之后超时(超时时间无法进行配置)。PAT可以使用单一的映射地址实现转换,因此能够节省可路由的地址资源。安全设备的接口IP地址也可以作为PAT地址。与动态NAT相似的是,当使用动态PAT时,目的网络的用户也无法发起入站连接。图6-11所示为动态PAT的工作方式。
注释:对于一些数据流与控制路径不同的多媒体应用,PAT不能与之配合使用。
动态NAT和PAT可以一起使用。在这种情况下,会首先把全局地址池中所有的地址都分配出去,当地址池中没有地址可用时,就会使用PAT转换,如图6-12所示。
配置动态NAT和PAT
配置动态NAT和PAT要执行以下步骤。
步骤1 在给定接口下用nat命令定义需要转换的真实(私有)地址。
步骤2 配置相应的global命令来为出站接口指定映射地址池(在使用PAT时,这里使用一个地址)。
上述每一条命令中用都会使用NAT ID,这个数字可以将nat命令同global命令建立映射关系。也就是说,NAT ID用来关联nat命令和global命令。读者可以回到图6-10和图6-11的例子中查看相关的配置。
三亿文库包含各类专业文献、幼儿教育、小学教育、高等教育、生活休闲娱乐、各类资格考试、思科NAT详解94等内容。 
 思科NAT 详解 6.16 网络地址转换(NAT) NAT 也称为 IP 地址伪装,可以用来将在一个网络(内部网络)中使用的 IP 地址转换成在另 一个网络(外部网络)中使用的 IP...  思科路由器NAT配置详解_计算机硬件及网络_IT/计算机_专业资料。大家看看简介: 一、NAT 简介: NAT(Network Address Translation)网络地址转换。 最早出现在思科 11.2...  CISCO IP nat 常用命令及原理详解 ip nat 语法: ip nat {inside | outside} no ip nat {inside | outside} 本命令用于设置应用 NAT 的内网和外网的接口。...  CISCO NAT(动态、静态)(讲解超详细)(个人学习心得)_互联网_IT/计算机_专业资料。此文档为本人为考试而精心整理,望对大家有所帮助动态...  CISCO NAT 经典配置 案例解释_IT/计算机_专业资料。有关网络配置需要注意的CISCO NAT 经典配置 案例解释 NAT 基础知识 ● NAT 简介 NAT(Network AddressTranslation...  思科ASA 系列防火墙 NAT 解析 网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术,是一种将私 有(保留)地址转化为合法 IP 地址的转换技术, ...  CISCO 在NAT下做IPsec VPN常见的问题及配置实例详解_计算机硬件及网络_IT/计算机_专业资料。CISCO 在NAT下做IPsec VPN常见的问题及配置实例详解 ...  CISCO+NAT设置全攻略_IT认证_资格考试/认证_教育专区。CISCO+NAT设置全攻略 更多IT 技术在
目前 NAT 一共有三种用法, 第一:是一个公有地址...  CISCO NAT 配置(值得一看)_计算机硬件及网络_IT/计算机_专业资料。路由器NAT功能配置简介CISCO NAT 配置(值得一看) ---路由器 NAT 功能配置简介 随着 internet ...鎵?竴鎵?紝璁块棶寰?ぞ鍖

我要回帖

更多关于 nat static 配置 的文章

 

随机推荐