配置88msc的NAT可行性

配置88msc的NAT可行性

网络地址转换（NAT） 是修改IPv4报头中的IP地址信息，而

包过境穿越防火墙或路由设备的过程。这个过程允许您把私人

到公共IP地址 与思科ASA防火墙，您可以配置2种类型的NAT -动态NAT（PAT端口地址转换） - 这是一个例子外部Web服务器发送的NAT 静态NAT 公共地址被映射到内部网络上的客户端的响应。私人10.1.2.27地址被翻译成209.165.201.10：

动态NAT允许你把内部地址转换为公共地址，您可以定义一组预定义或游泳池。“NAT”命令定义的内部主机和命令定义的“全球性”公共地址范围内部地址将被翻译。数字“1”在NAT配置定义NAT ID（NAT规则的数目），且必须符合“NAT”和“全球性”命令：

ASA1（CONFIG）＃NAT（内部）1 192.168.15.0 255.255.255.0 ASA1（配置）：＃全球（外）1 193.222.168.113-193.222.168.116 255.255.255.240

PAT转换1个公网地址映射到不同端口一个内部地址范围：

ASA1（CONFIG）＃NAT（内部）1 192.168.15.0 255.255.255.0 ASA1（CONFIG）＃全球（外）1 193.222.168.113

而不是IP地址在一个全球性的命令，它可以定义“界面”字。通过这种方式，内部地址将自动是PAT的外侧inteface到地址：

ASA1（CONFIG）＃NAT（内部）1 192.168.15.0 255.255.255.0 ASA1（CONFIG）＃全球1接口（外）

静态NAT，允许您永久映射的公网IP地址和端口内部地址和端口（端口转发）。随着，思科NAT，允许1:1或“镜像”，将所有的内部私有地址的端口相同的端口一个公网地址（双向）。当然，为了使流量从的“outsude”“里面的”接口上，流量的访问控制列表也必须允许 NAT的另一个方面是端口frowarding“ 。这是一个公开可用的端口映射到内部地址和端口的端口转发或端口工艺。这个例子显示了端口转发：

配置NAT，使流量从外部到内部主机后，你必须应用将允许流量的访问列表。最后，启动ACL，它绑定在“外部”接口“访问组”命令：

ASA1（CONFIG）＃静态（内，外）TCP 209.165.201.3 HTTP 10.2.2.28的http网络掩码255.255.255.255 ASA1（CONFIG）＃静态（内，外）TCP 209.165.201.3 FTP 10.2.2.27 FTP网络掩码255.255.255.255 ASA1（配置）＃静态（内，外）TCP 209.165.201.3 SMTP 10.2.2.29 SMTP网络掩码255.255.255.255 ASA1（CONFIG）＃access-list的扩展许可证outside_in_acl TCP的任何主机209.165.201.3式的http ASA1（CONFIG）＃access-list的outside_in_acl扩展许可证TCP的任何主机209.165.201.3式的ftp ASA1（CONFIG）＃access-list的扩展许可证outside_in_acl TCP的任何主机209.165.201.3式的smtp ASA1（CONFIG）＃外接口outside_in_acl在访问组

静态1:1 NAT翻译公共地址的方式，每一个公共端口映射的内部地址相同的内部端口。这是内部的10.2.2.45地址MAPING公共209.165.201.4 IP地址的静态1:1 NAT配置的例子：

ASA1（CONFIG）＃静态（内，外）209.165.201.4 10.2.2.45子网掩码255.255.255.255

通过这种方式，将所有的内部端口映射，可在公共网络。要允许流量从较低安全性的“外”，以更高的安全性界面的“内部”接口，必须应用访问控制列表。查看更多思科访问控制列表access-list的教程。