ASA动态PAT注意点

泰克实验室塑造

asa上做动态pat：
PAT是一个IP地址和一个源端口号的结合来创建一个惟一对话，PAT对所有的包使用相同的IP地址，但是它可以通过源端口号的不同来区分，其端口取值范围大于1024.

例：
nat (inside) 1 0.0.0.0
global (outside) 1 interface
则从内部发起第一个telnet连接，show xlate，可以观察到，从内部发起连接端口号随机，本地全局地址的端口为1024，以后再发起连接，端口号依此类推。对于icmp的连接不符合本规则，因为icmp不能产生状态，它后面跟的也不是端口号，只是一个转换过程中应用的一个号而己。
通过上面的推论，从外部向内部发起一个ssh连接，不会发生错误，asa不会认为访问自己的Outside接口就是要访问自己内网的某台设备，因为ssh连接目的端口号22,小于1024,asa认为这不是pat的映射。所以顺利连接到asa设备上。

phil

Thanks for your information.