ASA防火墙NAT新版老版的配置方法对比

ASA 8.3 以后，NAT 算是发生了很大的改变，之前也看过 8.4 的 ASA，改变的还有 VPN，加入了 Ikev2 。MPF 方法加入了新的东西，QOS 和策略都加强了，这算是 Cisco 把 CCSP 的课程改为 CCNP Security 的改革吧！拓扑图就是上面的，基本配置都是一样，地址每个路由器上一条默认路由指向 ASA。基本通信没问题，关于 8.3 以后推出了两个概念，一个是 network object 它可以代表一个主机或者子网的访问。另外一个是 service object，代表服务。1、地址池的形式的 NAT 配置老版本代表一个 12.1.1.0 的地址池转换成 200.200.200.3-200.200.200.254 一对一的转换nat (inside) 1 12.1.1.0 255.255.255.0global (outside) 1 200.200.200.3-200.200.200.254新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet 12.1.1.0 255.255.255.0ciscoasa(config-network-object)# exitciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 200.200.200.3 200.200.200.254ciscoasa(config-network-object)# exitciscoasa(config)# object network insideciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pool其实，刚开始接触也挺不习惯的，不过弄懂了就习惯了，它的意思是先定义两个 object，一个用于代表转换前的地址围，一个是转化后的地址围，最后在转换前的 object 进行调用转化后的 object。由于地址不是一一对应的，所以这里它就自动选择了。这里为了清楚表达要在需要的地方调用这个策略，所以输入了两次object network inside， 其实我们看先创建一个地址池，然后在创建一个需要转换的围，然后在这个 object 里面调用。2、动态 PAT，多对一的配置老配置里面可以根据一个地址或者直接跟 interface 参数来做nat (inside) 1 12.1.1.0 255.255.255.0global (outside) 1 200.200.200.1 or interface新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet 12.1.1.0 255.255.255.0ciscoasa(config-network-object)# nat (inside,outside) dynamic interface这个策略最简单，就在需要转换的地址进行 NAT 配置，这里调用 interface 作为转换。假如是一个单一的地址话。ciscoasa(config)# ob...