使用关于Cisco安全PIX防火墙的NAT和PAT语句

	设为首页		友情链接
	在线留言		发表文章
	加入收藏		广告联系

服务器

小说专版

数据库

Solaris

专题：

SOA

您现在的位置： IT公社 IT community >> 思科学堂 >> Cisco官方配置资料 >> 文章正文

用户登录

新用户注册

专题栏目

　　使用关于Cisco安全PIX防火墙的NAT和PAT语句

荐 ★

使用关于Cisco安全PIX防火墙的NAT和PAT语句

【导读】本文在CiscoSecure PIX 防火墙提供基本的NAT 和PAT配置示例。提供简化的网络图表。对于详细信息，参考您的PIX软件版本的PIX文档。

前提

本文的读者应该是熟知关于Cisco安全PIX防火墙。

使用的组件

本文的信息根据以下的软件及硬件版本。

Cisco安全PIX防火墙软件版本5.3.1 。

本文提供的信息在特定实验室环境里从设备被创建了。用于本文的所有设备开始了以一个缺省（默认）配置。如果在一个真实网络工作，保证您使用它以前了解所有命令的潜在影响。

使用NAT 0的多个NAT语句

网络图

在本例中， ISP提供网络管理器以地址范围从199.199.199.1到199.199.199.63 。网络管理器在互联网路由器决定分配199.199.199.1到内部接口和199.199.199.2到PIX的外部接口。

网络管理员已经安排C类地址分配到他的网络， 200.200.200.0/24，并且有一些工作站使用这些地址访问互联网。因为他们已经有有效地址，这些工作站不会要求任何地址转换。然而，新工作站在10.0.0.0/8网络分配地址并且他们将需要被转换(因为10.X.X.X是其中一个未路由的地址空间每 RFC 1918 。

适应此网络设计，网络管理员在PIX配置必须使用二个NAT语句和一个全局池，如下：



global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192

nat (inside) 0 200.200.200.0 255.255.255.0 0 0

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

此配置不会转换任何出局流量的源地址从200.200.200.0/24网络。它在 10.0.0.0/8网络将转换源地址成一个地址从范围199.199.199.3 - 199.199.199.62。

多个全局地址池

网络图

在本例中，网络管理器有在互联网注册IP 地址的二个范围，并且必须转换所有内部地址，在10.0.0.0/8范围，成注册的地址。网络管理器必须使用IP地址的范围是199.199.199.1 至199.199.199.62和 150.150.150.1至150.150.150.254。网络管理器可能执行此与：

 

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192

global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

注意我们在我们的NAT语句使用一个通配符寻址机制。此语句告诉PIX转换所有内部源地址当出去对互联网时。如果需要地址在此命令可以是更加特定的。

混合的 NAT和PAT全局语句

网络图

在本例中， ISP再提供网络管理器以地址范围从 199.199.199.1 - 199.199.199.63为他的公司的使用。网络管理器在互联网路由器在他的PIX决定为内部接口使用 199.199.199.1和199.199.199.2 为外部接口。如此，我们留下与199.199.199.3 - 199.199.199.62给使用为我们的NAT池。然而，网络管理器知道，随时，他也许有超过60 个人设法出去PIX，因此他决定采取199.199.199.62 和做它PAT地址以便多个用户能同时共享一个地址。

 

global (outside) 1 199.199.199.3-199.199.199.61 netmask 255.255.255.192

global (outside) 1 199.199.199.62 netmask 255.255.255.192

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

这些命令指示PIX转换源地址到199.199.199.3 - 199.199.199.61为了前59 个内部用户能横跨PIX通过。在这些地址用尽之后，PIX 然后将转换所有随后的源地址到199.199.199.62 直到其中一个地址在NAT池任意成为。

注意： 我们在我们的NAT 语句使用一个通配符寻址机制。此语句告诉PIX转换所有内部源地址当出去对互联网时。如果需要地址在此命令可以是更加特定的。

多项NAT语句带有 Nat 0 access-list

网络图

在本例中， ISP再提供网络管理器以地址范围从 199.199.199.1 - 199.199.199.63。网络管理器在互联网路由器决定分配199.199.199.1到内部接口和199.199.199.2到PIX的外部接口。

然而，在此方案我们安置了另一个专用LAN分段我们的互联网路由器。当主机在这两个网络彼此时，谈网络管理器宁可不浪费地址从他的全局池。网络管理器仍然需要转换源地址为所有他的内部用户(10.0.0.0/8) 当出去对互联网时。

 

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192

nat (inside) 0 access-list 101

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

此配置不会转换那些地址带有源地址为10.0.0.0/8和目的地地址为192.168.1.0/24。它将转换源地址从所有数据流初始化从10.0.0.0/8 网络内和注定为任何地方除192.168.1.0/24之外到一个地址从范围 199.199.199.3 - 199.199.199.62。

如果有write terminal命令的输出从您的Cisco设备，您能使用 Output Interpreter 显示潜在问题和修正。使用 Output Interpreter ，您必须是一个注册的用户，登录，并且安排 Javascript 被启用。

（责任编辑：城尘 68476636-8003）

频道声明：本频道的文章除部分特别声明禁止转载的专稿外，可以自由转载.但请务必注明出出处和原始作者文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。

原始作者:佚名	录入时间:2006-10-13 4:38:15
信息来源:不详	投稿信箱:itqoo@126.com

文章录入：admin 责任编辑：admin

上一篇文章：在Catalyst 2948G-L3交换机上使用BVI配置IP上行链路重定向功能

下一篇文章： PPP认证使用ppp chap hostname和ppp authentication chap callin命令

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

- 关于我们 - 合作伙伴 - 友情链接 - 广告刊登 - 投稿热线 - 在线留言 - 版权声明 - 联系方式 -
	IT公社版权所有粤ICP备05127012号
	Copyrigh@2005-2006 itqoo.com.Inc All Rights Reserved 推荐分辨率 1024*768
	联系站长：E-Mail:itqoo@126.com MSN:urchincc@hotmail.com QQ:
	特别感谢:亿太网络提供空间支持