快捷搜索:

使用Cisco安全PIX防火墙的NAT和PAT 语句

媒介

本文在CiscoSecure PIX 防火墙供给基础的NAT 和PAT设置设置设备摆设摆设示例。供给简化的收集图表 。 对付具体信息,参考您的PIX软件版本的PIX文档。

条件

本文的读者应该是熟知 关于Cisco安然PIX防火墙。

应用的组件

本文的信息根据以下的软件及硬件版本。

Cisco安然PIX防火墙软件版本5.3.1 。

本文供给的信息在特定实验室环 境里从设备被创建了。用于本文的所有设备开始了以一个缺 省(默认)设置设置设备摆设摆设。假如在一个真实收集事情,包管您应用它 曩昔懂得所有敕令的潜在影响。

应用NAT 0的多个NAT语句

收集图

在本例中, ISP供给收集治理器以地址范围从199.199.199.1到199.199.199.63 。收集治理器在互联网路由器抉择分配199.199.199.1到内部 接口和199.199.199.2到PIX的外部接口。

收集治理员已经安排C类地址分配到他的收集, 200.200.200.0/24,并且有一些事情站应用这些地址造访互联网。 由于他们已经有有效地址,这些事情站不会要求任何地址转 换。然而,新事情站在10.0.0.0/8收集分配地址并且他们将 必要被转换(由于10.X.X.X是此中一个未路由的地址空间每 RFC 1918 。

适 应此收集设计,收集治理员在PIX设置设置设备摆设摆设必须应用二个NAT语句和一个 全局池,如下:

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192

nat (inside) 0 200.200.200.0 255.255.255.0 0 0

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

此设置设置设备摆设摆设不会转换任 何出局流量的源地址从200.200.200.0/24收集。它在 10.0.0.0/8收集将转换源地址成一个地址从范围199.199.199.3 - 199.199.199.62。

多个全局地址池

收集图

在本例中, 收集治理器有在互联网注册IP 地址的二个范围,并且必须转换所 有内部地址,在10.0.0.0/8范围,成注册的地址。收集管 理器必须应用IP地址的范围是199.199.199.1 至199.199.199.62和 150.150.150.1至150.150.150.254。 收集治理器可能履行此 与:

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192

global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

留意我们在我们的NAT语句应用 一个通配符寻址机制。此语句奉告PIX转换所有内部源地址当 出去对互联网时。假如必要地址在此敕令可所以加倍特定的 。

混杂的 NAT和PAT全局语句

收集图

在本例中, ISP再供给收集治理器以地址范围从 199.199.199.1 - 199.199.199.63为他的公司的应用。收集 治理器在互联网路由器在他的PIX抉择为内部接口应用 199.199.199.1和199.199.199.2 为外部接口。如斯,我们 留下与199.199.199.3 - 199.199.199.62给应用为我们的NAT池。 然而,收集治理器知道,随时,他大概有跨越60 小我设法 出去PIX,是以他抉择采取199.199.199.62 和做它PAT地址以便多 个用户能同时共享一个地址。

global (outside) 1 199.199.199.3-199.199.199.61 netmask 255.255.255.192

global (outside) 1 199.199.199.62 netmask 255.255.255.192

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

这些命 令唆使PIX转换源地址到199.199.199.3 - 199.199.199.61为了前59 个内部用户能横跨PIX经由过程。在这些地址用尽之后,PIX 然 后将转换所有随后的源地址到199.199.199.62 直到此中一个地址 在NAT池随意率性成为。

留意: 我们在我们的NAT 语句应用一个通配符寻址机 制。此语句奉告PIX转换所有内部源地址当出去对互联网时。 假如必要地址在此敕令可所以加倍特定的。

多项NAT语句带有 Nat 0 access-list

收集图

在本例中, ISP再供给收集治理器以地址范围从 199.199.199.1 - 199.199.199.63。收集治理器在互联网路 由器抉择分配199.199.199.1到内部接口和199.199.199.2到PIX的外 部接口。

然而,在此规划我们安置了 另一个专用LAN分段我们的互联网路由器。当主机在这两个网 络彼此时,谈收集治理器宁肯不挥霍地址从他的全局池。网 络治理器仍旧必要转换源地址为所有他的内部用户(10.0.0.0/8) 当 出去对互联网时。

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192

nat (inside) 0 access-list 101

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

此设置设置设备摆设摆设不会转换那 些地址带有源地址为10.0.0.0/8和目的地地址为192.168.1.0/24。 它将转换源地址从所稀有据流初始化从10.0.0.0/8 收集内 和注定为任何地方除192.168.1.0/24之外到一个地址从范围 199.199.199.3 - 199.199.199.62。

假如有write terminal敕令的输出 从您的Cisco设备,您能应用 Output Interpreter  显示潜在问题和修正。应用 Output Interpreter ,您必须是一个 注册的用户,登录,并且安排 Javascript 被启用。

您可能还会对下面的文章感兴趣: