11.1 思科ASA:地址转换的类型
11.1 思科ASA:地址转换的类型
地址转换的类型
Cisco ASA支持两种类型的地址转换,即网络地址转换NAT和端口地址转换PAT。
1、网络地址转换
当数据包穿越安全设备,并且匹配转换条件时,网络地址转换NAT可以定义一种一对一的地址映射关系。安全设备会分配一个静态IP地址(静态NAT)或者从地址池中分配 一个地址(动态NAT)。
当数据包去往公共网络时,Cisco ASA可以将一个内部地址转换为一个全局地址。这种方式也称为内部NAT(inside NAT), 安全设备会将返回流量的全局地址转换为源内部地址。
当从更高安全级别的接口(如内部接口)发来的流量去往较低安全级别的接口(如外部接口),设备就会使用内部NAT。
在下图中,位于内部网络中的主机192.168.10.10向外部网络中的主机209.165.201.1发送流量。
Cisco ASA会将源IP地址转换为209.165.200.226, 目的地址不变。
当Web服务器向全局IP地址209.165.200.226发送响应消息时,安全设备会将全局IP地址转换为源内部实际ip地址192.168.10.10。
还有一种选择,即较低安全级别接口上的主机可以补转换为较高安全级别接口上的主机。
这种方式称为外部NAT, 如果希望外部网络中的主机在内部网络中显示为一个内部IP地址,这种方式很有用。
在下图中,外部网络中的主机209.165.201.1会使用其全局地址作为目的地址向内部网络中的主机192.168.10.10发送流量。
Cisco ASA会将源IP地址转换为192.168.10.100, 同时将目的IP地址转换为192.168.10.10。由于源和目的IP地址都最得到了修改,这也可以称为双向NAT。
备注:若数据包被接口ACL拒绝,安全设备就不会为其建立相应的地址转换表条目。
2、端口地址转换
当数据包穿越安全设备,并且匹配转换条件时,端口地址转换PAT可以定义一种一对多的地址映射关系。安全设备会查看数据包头部的4层信息并创建一个转换表,以区分使用一全局IP地址的内部主机。
下图所示为一台为内部网络192.168.10.0/24建立了PAT的设备。然而,只有一个全局地址可用于该转换。如果两台内部主机192.168.10.10和192.168.20.20都需要与外部主机209.165.201.1建立连接,安全设备就会使用4层头部信息建立转换表。在这种情况下,由于两台内部主机使用同一个源端口号,那么为了确保两个条目彼此相异,安全设备会分配一个随机源端口。通过这种方式,当web服务器向安全设备返回响应消息时,安全设备就会知道向哪个内部主机发送数据包。
思科Cisco ASA防火墙(列表、list、全)asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 11.1 思科ASA:地址转换的类型
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm