拓扑说明：路由器接口IP为.1，ASA接口IP为.10，所有设备的默认路由指向ASA。1.静态地址转换  静态一对一：  需求1：  Inside路由器使用202.100.1.10的IP访问Outside路由器  static (Inside,Outside) interface 10.1.1.1    ！测试发现在指定Global地址时不能使用Outside接口配置的IP地址，必须使用interface关键字  需求2：  Inside路由器使用202.100.1.20的IP访问Outside路由器  static (Inside,Outside) 202.100.1.20 10.1.1.1  静态多对多：  需求1：  DMZ有六台服务器，IP为192.168.1.201-206，子网掩码为255.255.255.248，需要应映射到202.100.1.201-206，且对应关系为192.168.1.201对应202.100.1.201，192.168.1.202对应202.100.1.202，以此类推。  static (DMZ,Outside) 192.168.1.200 202.100.1.200 netmask 255.255.255.2482.动态地址转换  简单内外转换：   需求1： DMZ有六台服务器，IP为192.168.1.201-206，需要子网掩码为255.255.255.248应映射到202.100.1.201-206，地址动态映射，先到先得。如192.168.1.202先访问外网，则转换为202.100.1.201。   nat (Inside) 1 192.168.1.200 255.255.255.248   global (Outside) 1 202.100.1.200 netmask 255.255.255.248注意：转换的global地址最好多余nat地址，否则会转换枯竭而死...避免这种情况可在最后添加一条命令：   global (Outside) 1 202.100.1.208类似与路由器的overload  多接口内外转换：    需求1：Inside区域访问Outside区域会将地址转换为202.100.1.100，Inside区域访问DMZ区域会将地址转换为192.168.1.100，DMZ区访问Outside区会将地址转换为202.100.1.100  nat (Inside) 2 10.1.1.0 255.255.255.0  nat (DMZ) 2 192.168.1.0 255.255.255.0  global (Outside) 2 202.100.1.100  global (DMZ) 2 192.168.1.1003.静态PAT(端口映射)  23端口映射  需求1：DMZ区路由器192.168.1.1需要从外网202.100.1.1远程访问，注意流量是Inbound流量，由于Inbound流量默认deny,所以需要ACL放行。  static (DMZ,Outside) tcp 202.100.1.100 telnet 192.168.1.1 telnet netmask 255.255.255.255  access-list out permit tcp host 202.100.1.1 host 202.100.1.100 eq 23  access-group out in interface Outside4.动态PAT（端口复用）  动态多对一（大部分上网环境）  需求1：10.1.1.0/24网段通过202.100.1.200访问Outside,使用端口复用技术  nat (Inside) 3 10.1.1.0 255.255.255.0  global (Outside) 3 202.100.1.200注：由于端口复用技术使用的端口是非知名端口，所以能使用的端口范围65535-1024=64511，如果使用在内网使用大量BT类软件时，消耗的连接会非常快，所以尽可能多的配置IP地址用于端口转换。  global (Outside) 3 202.100.1.201  global (Outside) 3 202.100.1.202按照如上配置，202.100.1.200的端口使用完后会依次使用201和202的。具体的消耗取决于对用户的连接数与半开连接数的限制等。5.策略NAT/PAT  策略NAT  需求：Outside路由器f0/0接口配置两个IP，分别为202.100.1.1与202.100.1.2。当Inside路由器访问202.100.1.1时转换成IP202.100.1.100，访问202.100.1.2时转换为IP202.100.1.200。  access-list list_1 extended permit ip host 10.1.1.1 host 202.100.1.1   access-list list_2 extended permit ip host 10.1.1.1 host 202.100.1.2   static (Inside,Outside) 202.100.1.100 access-list list_1  static (Inside,Outside) 202.100.1.200 access-list list_2    策略PAT  需求：Outside路由器f0/0接口配置两个IP，分别为202.100.1.1与202.100.1.2。当10.1.1.0/24网段访问202.100.1.1时转换成IP202.100.1.100，访问202.100.1.2时转换为IP202.100.1.200。  access-list list_1 extended permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1   access-list list_2 extended permit ip 10.1.1.0 255.255.255.0 host 202.100.1.2    nat (Inside) 10 access-list list_1  nat (Inside) 20 access-list list_2  global (Outside) 10 202.100.1.100
  global (Outside) 20 202.100.1.200
6.Identity NAT  适用于nat-control环境，或者在PAT中排除某些转换，注意IdentityNAT优先级没有静态NAT高，所以是无法在静态转换中排除地址的。  需求：10.1.1.1访问202.100.1.2时使用真实地址，访问202.100.1.0/24其他主机时转换为202.100.1.111  nat (Inside) 0 10.1.1.1 255.255.255.255  nat (Inside) 1 10.1.1.0 255.255.255.0  global (Outside) 1 202.100.1.111
7.NAT免除  优先级最高的nat,适用于在任意nat中排除地址。  需求：10.1.1.1访问202.100.1.2时使用真实地址，访问202.100.1.0/24其他主机时转换为202.100.1.111  access-list nonat permit ip host 10.1.1.1 host 202.100.1.2  nat (Inside) 0 access-list nonat

本文出自 “菠萝味咖啡的领地” 博客，转载请与作者联系！