帶兩個內部網路和Internet的ASA 8.3(x)動態PAT配置示例

下載選項

  • PDF     (814.5 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (601.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (1.2 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2010 年 3 月 9 日
文件 ID:111842

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔提供運行軟體版本8.3(1)的思科自適應安全裝置(ASA)上的動態PAT的示例配置。透過將實際源地址和源埠轉換為對映地址和唯一對映埠,動態PAT可將多個實際地址轉換為單一對映地址。每個連線都需要單獨的轉換會話,因為每個連線的源埠不同。

必要條件

需求

嘗試此組態之前,請確保符合以下要求:

  • 確保內部網路在ASA內部有兩個網路:

    • 192.168.0.0/24 -直接連線到ASA的網路。

    • 192.168.1.0/24 - ASA內部但位於另一裝置(例如,路由器)之後的網路。

  • 確保內部使用者按如下方式獲得PAT:

    • 192.168.1.0/24子網上的主機將獲得ISP提供的備用IP地址(10.1.5.5)的PAT。

    • ASA內部後面的任何其他主機都將將PAT連線到ASA的外部介面IP地址(10.1.5.1)。

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • 思科自適應安全裝置(ASA),版本8.3(1)

  • ASDM 6.3(1)版

注意:要使ASDM可配置ASA,請參閱允許ASDM進行HTTPS訪問

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

慣例

有關文檔規則的資訊,請參閱Cisco技術提示規則

組態

網路圖表

此文件使用以下網路設定:

asa-dynamic-pat-01.gif

注意:此配置中使用的IP編址方案在Internet上無法合法路由。這些地址是在實驗室環境中使用的RFC 1918 leavingcisco.com地址。

ASA CLI配置

本文檔使用以下配置。

ASA動態PAT配置 
ASA#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.


!--- Creates an object called OBJ_GENERIC_ALL. !--- Any host IP not already matching another configured !--- object will get PAT to the outside interface IP !--- on the ASA (or 10.1.5.1), for internet bound traffic.


ASA(config)#object network OBJ_GENERIC_ALL
ASA(config-obj)#subnet 0.0.0.0 0.0.0.0
ASA(config-obj)#exit
ASA(config)#nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface


!--- The above statements are the equivalent of the !--- nat/global combination (as shown below) in v7.0(x), !--- v7.1(x), v7.2(x), v8.0(x), v8.1(x) and v8.2(x) ASA code:


nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface



!--- Creates an object called OBJ_SPECIFIC_192-168-1-0. !--- Any host IP facing the the ‘inside’ interface of the ASA !--- with an address in the 192.168.1.0/24 subnet will get PAT !--- to the 10.1.5.5 address, for internet bound traffic.


ASA(config)#object network OBJ_SPECIFIC_192-168-1-0
ASA(config-obj)#subnet 192.168.1.0 255.255.255.0
ASA(config-obj)#exit
ASA(config)#nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5


!--- The above statements are the equivalent of the nat/global !--- combination (as shown below) in v7.0(x), v7.1(x), v7.2(x), v8.0(x), !--- v8.1(x) and v8.2(x) ASA code:


nat (inside) 2 192.168.1.0 255.255.255.0
global (outside) 2 10.1.5.5

ASA 8.3(1)運行配置 
ASA#show run
: Saved
:
ASA Version 8.3(1)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!

!--- Configure the outside interface.

!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.1.5.1 255.255.255.0

!--- Configure the inside interface.

!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
 management-only
!
boot system disk0:/asa831-k8.bin

ftp mode passive

object network OBJ_SPECIFIC_192-168-1-0 
 subnet 192.168.1.0 255.255.255.0
object network OBJ_GENERIC_ALL 
 subnet 0.0.0.0 0.0.0.0

pager lines 24
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-631.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface
nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5

route inside 192.168.1.0 255.255.255.0 192.168.0.254 1
route outside 0.0.0.0 0.0.0.0 10.1.5.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f
: end

ASDM配置

為了透過ASDM介面完成此配置,您必須:

  1. 增加三個網路對象;此示例將增加以下網路對象:

    • OBJ_GENERIC_ALL

    • OBJ_SPECIFIC_192-168-1-0

    • 10.1.5.5

  2. 建立兩個NAT/PAT規則;本示例為以下網路對象建立NAT規則:

    • OBJ_GENERIC_ALL

    • OBJ_SPECIFIC_192-168-1-0

新增網路物件

完成以下步驟以增加網路對象:

  1. 登入ASDM,選擇Configuration > Firewall > Objects > Network Objects/Groups

    asa-dynamic-pat-02.gif

  2. 選擇Add > Network Object增加網路對象。

    asa-dynamic-pat-03.gif

    系統將顯示Add Network Object對話方塊。

    asa-dynamic-pat-04.gif

  3. 在Add Network Object對話方塊中輸入以下資訊:

    • 網路對象的名稱。(本示例使用OBJ_GENERIC_ALL。)

    • 網路對象的型別。(本示例使用Network。)

    • 網路對象的IP地址。(本示例使用0.0.0.0。)

    • 網路對象的網路掩碼。(本示例使用0.0.0.0。)

  4. 按一下「OK」(確定)。

    隨即建立網路物件並顯示在「網路物件/群組」清單中,如下圖所示:

    asa-dynamic-pat-05.gif

  5. 重複以上步驟增加第二個網路對象,然後按一下OK

    此範例使用下列值:

    • 名稱:OBJ_SPECIFIC_192-168-1-0

    • 型別:網路

    • IP地址:192.168.1.0

    • 網路掩碼:255.255.255.0

    asa-dynamic-pat-06.gif

    第二個物件隨即建立並顯示在「網路物件/群組」清單中,如下圖所示:

    asa-dynamic-pat-07.gif

  6. 重複以上步驟增加第三個網路對象,然後按一下OK

    此範例使用下列值:

    • 名稱:10.1.5.5

    • 型別:主機

    • IP地址:10.1.5.5

    asa-dynamic-pat-08.gif

    第三個網路對象即建立並顯示在「網路對象/組」清單中。

    asa-dynamic-pat-09.gif

    Network Objects/Groups(網路對象/組)清單現在應包括NAT規則需要參考的三個必要對象。

建立NAT/PAT規則

要建立NAT/PAT規則,請完成以下步驟:

  1. 建立第一個NAT/PAT規則:

    1. 在ASDM中,選擇Configuration > Firewall > NAT Rules,並按一下Add

      asa-dynamic-pat-10.gif

      系統將顯示Add NAT Rule對話方塊。

      asa-dynamic-pat-11.gif

    2. 在Add NAT Rule對話方塊的Match Criteria: Original Packet區域中,從Source Interface下拉選單中選擇inside

      asa-dynamic-pat-12.gif

    3. 按一下Source Address文本欄位右側的瀏覽(...)按鈕。

      系統將顯示Browse Original Source Address對話方塊。

      asa-dynamic-pat-13.gif

    4. 在Browse Original Source Address對話方塊中,選擇您建立的第一個網路對象。(本示例中,選擇OBJ_GENERIC_ALL。)

    5. 按一下Original Source Address,然後按一下OK

      OBJ_GENERIC_ALL網路對象將顯示在Add NAT Rule對話方塊的Match Criteria: Original Packet區域的Source Address欄位中。

      asa-dynamic-pat-14.gif

    6. 在Add NAT Rule對話方塊的Action: Translated Packet區域中,在Source NAT Type對話方塊中選擇Dynamic PAT (Hide)

      asa-dynamic-pat-15.gif

    7. 按一下Source Address欄位右側的瀏覽(...)按鈕。

      asa-dynamic-pat-16.gif

      系統將顯示Browse Translated Source Address對話方塊。

      asa-dynamic-pat-17.gif

    8. 在Browse Translated Source Address對話方塊中,選擇outside介面對象。(由於此介面是原始配置的一部分,因此已建立此介面。)

    9. 按一下Translated Source Address,然後按一下OK

      現在外部介面將顯示在Add NAT Rule對話方塊的Action: Translated Packet區域的Source Address欄位中。

      asa-dynamic-pat-18.gif

      注意:Destination Interface欄位也變為外部介面。

    10. 驗證第一個完成的PAT規則是否如下所示:

      在Match Criteria: Original Packet區域中,驗證以下值:

      • 源介面=內部

      • 來源位址= OBJ_GENERIC_ALL

      • 目的地址=任意

      • 服務=任意

      在Action: Translated Packet區域中,驗證以下值:

      • 源NAT型別=動態PAT(隱藏)

      • 源地址=外部

      • 目的地址=原始

      • 服務=原始

    11. 按一下「OK」(確定)。

      第一個NAT規則出現在ASDM中,如下圖所示:

      asa-dynamic-pat-19.gif

  2. 建立第二個NAT/PAT規則:

    1. 在ASDM中,選擇Configuration > Firewall > NAT Rules,並按一下Add

    2. 在Add NAT Rule對話方塊的Match Criteria: Original Packet區域中,從Source Interface下拉選單中選擇inside

    3. 按一下Source Address欄位右側的瀏覽(...)按鈕。

      系統將顯示Browse Original Source Address對話方塊。

      asa-dynamic-pat-20.gif

    4. 在「瀏覽原始來源位址」通話方塊中,選擇您建立的第二個物件。(本示例中,選擇OBJ_SPECIFIC_192-168-1-0。)

    5. 按一下Original Source Address,然後按一下OK

      OBJ_SPECIFIC_192-168-1-0網路對象將顯示在Add NAT Rule對話方塊的Match Criteria: Original Packet區域的Source Address欄位中。

    6. 在Add NAT Rule對話方塊的Action: Translated Packet區域中,在Source NAT Type對話方塊中選擇Dynamic PAT (Hide)

    7. 按一下位於Source Address欄位右側的...按鈕。

      系統將顯示Browse Translated Source Address對話方塊。

      asa-dynamic-pat-21.gif

    8. 在Browse Translated Source Address對話方塊中,選擇10.1.5.5 對象。(由於此介面是原始配置的一部分,因此已建立此介面)。

    9. 按一下Translated Source Address,然後按一下OK

      10.1.5.5網路對象將顯示在Add NAT Rule對話方塊的Action: Translated Packet區域的Source Address欄位中。

    10. 在Match Criteria: Original Packet區域,從Destination Interface下拉選單中選擇outside

      注意:如果您不為此選項選擇outside,則目標介面將參考Any

      asa-dynamic-pat-22.gif

    11. 驗證第二個完成的NAT/PAT規則是否如下所示:

      在Match Criteria: Original Packet區域中,驗證以下值:

      • 源介面=內部

      • 來源位址= OBJ_SPECIFIC_192-168-1-0

      • 目的地址=外部

      • 服務=任意

      在Action: Translated Packet區域中,驗證以下值:

      • 源NAT型別=動態PAT(隱藏)

      • 源地址= 10.1.5.5

      • 目的地址=原始

      • 服務=原始

    12. 按一下「OK」(確定)。

      完成的NAT配置將顯示在ASDM中,如下圖所示:

      asa-dynamic-pat-23.gif

  3. 按一下Apply按鈕更改運行的配置。

這將完成思科自適應安全裝置(ASA)上的動態PAT配置。

驗證

使用本節內容,確認您的組態是否正常運作。

輸出直譯器工具(僅供註冊客戶使用) (OIT)支援某些show指令。使用OIT檢視對show命令輸出的分析。

驗證通用PAT規則

  • show local-host — 顯示本地主機的網路狀態。 

    ASA#show local-host

   Interface outside: 1 active, 2 maximum active, 0 denied
local host: <125.252.196.170>,
    TCP flow count/limit = 2/unlimited
    TCP embryonic count to host = 0
    TCP intercept watermark = unlimited
    UDP flow count/limit = 0/unlimited

!--- The TCP connection outside address corresponds !--- to the actual destination of 125.255.196.170:80

Conn:
    TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, 
          idle 0:00:03, bytes 13758, flags UIO
    TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, 
          bytes 11896, flags UIO
Interface inside: 1 active, 1 maximum active, 0 denied
local host: <192.168.0.5>,
    TCP flow count/limit = 2/unlimited
    TCP embryonic count to host = 0
    TCP intercept watermark = unlimited
    UDP flow count/limit = 0/unlimited


!--- The TCP PAT outside address corresponds to the !--- outside IP address of the ASA – 10.1.5.1.


  Xlate:
    TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags 
          ri idle 0:00:17 timeout 0:00:30
    TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags 
          ri idle 0:00:17 timeout 0:00:30

  Conn:
    TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:03, 
          bytes 13758, flags UIO
    TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, 
          bytes 11896, flags UIO

  • show conn — 顯示指定連線型別的連線狀態。

    ASA#show conn
			2 in use, 3 most used
TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:06, 
          bytes 13758, flags UIO
TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:01, 
          bytes 13526, flags UIO

  • show xlate - 顯示有關轉換插槽的資訊。

    ASA#show xlate
	4 in use, 7 most used
Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, 
          T - twice
TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags 
          ri idle 0:00:23 timeout 0:00:30
TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags 
          ri idle 0:00:23 timeout 0:00:30

檢驗特定PAT規則

  • show local-host — 顯示本地主機的網路狀態。 

    ASA#show local-host
Interface outside: 1 active, 2 maximum active, 0 denied
local host: <125.252.196.170>,
    TCP flow count/limit = 2/unlimited
    TCP embryonic count to host = 0
    TCP intercept watermark = unlimited
    UDP flow count/limit = 0/unlimited

!--- The TCP connection outside address corresponds to !--- the actual destination of 125.255.196.170:80.

Conn:
    TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, 
          idle 0:00:07, bytes 13758, flags UIO
    TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, 
          idle 0:00:03, bytes 11896, flags UIO
Interface inside: 1 active, 1 maximum active, 0 denied
local host: <192.168.0.5>,
    TCP flow count/limit = 2/unlimited
    TCP embryonic count to host = 0
    TCP intercept watermark = unlimited
    UDP flow count/limit = 0/unlimited



!--- The TCP PAT outside address corresponds to an !--- outside IP address of 10.1.5.5.

Xlate:
    TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags 
          ri idle 0:00:17 timeout 0:00:30
    TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/23673 flags 
          ri idle 0:00:17 timeout 0:00:30

  Conn:
    TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, 
          bytes 13758, flags UIO
    TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, 
          bytes 11896, flags UIO

  • show conn — 顯示指定連線型別的連線狀態。

    ASA#show conn
2 in use, 3 most used
TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, 
          bytes 13653, flags UIO
TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, 
          bytes 13349, flags UIO

  • show xlate - 顯示有關轉換插槽的資訊。

    ASA#show xlate
3 in use, 9 most used
Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, 
          T - twice
TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags 
          ri idle 0:00:23 timeout 0:00:30
TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/29673 flags 
          ri idle 0:00:23 timeout 0:00:30

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
09-Mar-2010
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品