6种NAT

泰克实验室塑造

实验目的：验证各种nat执行的优先顺序
实验步骤：此实验按级别低的开始做，优先级别高的做好后，会覆盖掉之前低级别的nat。

1.动态PAT
TECH(config)# nat (inside) 1 192.168.1.0 255.255.255.0
TECH(config)# global (outside) 1 10.1.1.11
INFO: Global 10.1.1.11 will be Port Address Translated

2.动态NAT
TECH(config)# nat (inside) 1 192.168.1.0 255.255.255.0
TECH(config)# global (outside) 1 10.1.1.12-10.1.1.20  
动态PAT,动态NAT一起使用的情况：IP地址不够用，前一部分用NAT,最后一个IP用PAT
注意：outside被翻译的时候，条件nat(outside) x x.x.x.x outside，最后的关键字outside不能丢，少了这个关键字，这条命令不起作用

3.策略NAT
TECH(config)# access-li in-out per ip ho 1.1.1.1 ho 10.1.1.1
TECH(config)# nat (inside) 3 access-list in-out
TECH(config)# global (outside) 3 10.1.1.21
INFO: Global 10.1.1.21 will be Port Address Translated
注意1：这里如果只写nat(inside)10，不写global则认为没有地址池就会把包丢掉。
注意2：Outside被翻译的时候，条件要加关键字outside。

4.静态PAT
static (in,out) tcp 1.1.1.40 23 2.2.2.2 23
注意：不可以从inside作测试，因为inside出去的时候是随机的端口号，匹配不上这条语句，要从outside做测试；写完静态nat后不能写入静态的pat。

5.静态NAT
TECH(config)# static (inside,outside) 10.1.1.30 192.168.1.1　
括号里前面的接口inside与后面的Ip192.168.1.1是一对，即一个流量从Inside过来，去往outside被翻译，源是192.168.1.1被翻译成10.1.1.30；
因为static是双向的翻译，所以Outside方向来个流量要去目的地192.168.1.1，它必须指的目的地是10.1.1.30，到了ASA上，会被翻译成192.168.1.1 。

6.NAT 免疫
Access-list 111 permit ip host 2.2.2.2 host 1.1.1.2
nat (inside) 0 access-list 111
ACL源是本地的，发起方的。好处，外面可以主动访问里面.
Access-list 100 permit ip host 1.1.1.2 host 2.2.2.2
Nat（outside）0 access-list 100 outside,此处的Outside不能丢，道理同上。

7.静态nat之间优先级
比较static(in,out) x.x.x.0 x.x.x.0 net 255.255.255.0
    static(in,out) x.x.x.x x.x.x.x net 255.255.255.255
不是看掩码翻译，是靠谁写在前谁写在后

8.动态nat之间的优先级
比较nat(inside) Y x.x.x.0 net 255.255.255.0
nat(inside) Y x.x.x.x net 255.255.255.255
掩码长的优先

zhurx

有心之人！

phil

Thanks for your information.