思科 ASA 中的源和目标 NAT

网络工程 思科 纳特
2021-07-24 06:31:01

关于 Cisco ASA 中的源 NAT 和目标 NAT 真的很困惑。我在 IP 10.10.20.20 中有一个 NVR,它在本地通过http://10.10.20.20打开远程,我希望通过我的公共 IP 201.202.203.204:8080 访问它。所以我的理解是,我必须在这个公共 IP 中转发这个端口。不是目的地nat吗?我在这里使用的是自动 NAT:对象网络 obj-10.10.20.20 主机 10.10.20.20 nat(inside,outside) 静态接口服务 tcp 80 8080

使用手动 NAT:我们创建对象。对象网络 obj-10.10.20.20 主机 10.10.20.20

同样,对于端口: object service port-80 service tcp source eq 80

对象服务端口 8080 服务 tcp 源 eq 8080

因此,NAT 命令将类似于: nat(inside,outside) source static obj-10.10.20.20 interface service port-80 port-8080

访问规则是:访问列表访问列表名称扩展许可 tcp 任何主机 10.10.20.20 eq http

端口 8080 不是应该是目标端口吗?毕竟,我们正在为远程用户开放端口 8080。请明确何时成为源端口,何时成为目的端口。先感谢您。

2个回答

当您使用 (inside,outside) 配置静态 PAT 规则时,这实际上会在您的 NAT 表中创建一个持久连接,该连接在两个指定接口之间是双向的。你可以看到这一点show xlate这使得您无需为静态 PAT 规则创建两个 NAT 规则。一个规则处理到外部接口的入站流量,另一个处理到内部接口的入站流量。您可以通过unidirectional在 NAT 语句末尾添加语句来覆盖此行为,从而创建单向静态 NAT 规则

通过 ASA 8.3+ NAT 语法,我们使用所有真实的 IP 地址和端口。我只是认为 NAT 转换发生您的入站 ACL之前

乔希

这些定义取自 junos book

目标 NAT 能够将一个目标地址转换为另一个目标地址,将目标地址和端口转换为另一个目标地址和端口,或者将一组目标地址转换为另一组大小相同的地址。

源 NAT 是对 IP 流标头中的源 IP 地址和 TCP/UDP 端口的转换。它最常用于将私有 IP 地址空间转换为公共全局可路由地址空间。

其它你可能感兴趣的问题
上一篇非对称 VLAN 问题 下一篇添加交换机以提供冗余