本节书摘来自异步社区《Cisco防火墙》一书中的第8章,第8.5节,作者 【巴西】Alexandre M.S.P. Moraes,更多章节内容可以访问云栖社区“异步社区”公众号查看
Cisco防火墙在8.3版本之前,ASA是通过将入站static规则和出站static规则结合起来使用,以实现双向NAT转换的。
例8-24所示为将两条static命令结合起来使用,以实现双向NAT的效果。
dmz主机10.10.10.140在out接口上发布为172.16.16.140。out主机172.16.16.200在dmz接口上显示为10.10.10.200。这个示例还进一步显示了从172.16.16.200到172.16.16.140之间的Telnet会话的连接及转换建立过程。
只有发布的地址172.16.16.140才能看到out主机172.16.16.200。放行入站Telnet流量的ACE将目的IP指定为172.16.16.140。命令show conn显示出了真实的地址。在dmz主机看来,这条连接仿佛是由10.10.10.200发起建立的。例8-24配置双向NAT
例8-25所示为在一个双向NAT环境中,通过Packet Tracer查看出站方向的连接。读者应该看到在out接口的真实地址(172.16.16.200)出现了一次未转换(Untranslate)的匹配项(撞击),而在dmz接口的真实地址(10.10.10.140)则出现了一次转换(translate)的匹配项(撞击)。
例8-25使用Packet Tracer来分析双向NAT
相关资源:实战思科路由器NAT案例配置详解