前言
本文在CiscoSecure PIX 防火墙提供基本的NAT 和PAT配置示例。提供简化的网络图表 。 对于详细信息,参考您的PIX软件版本的PIX文档。
前提
本文的读者应该是熟知 关于Cisco安全PIX防火墙。
使用的组件
本文的信息根据以下的软件及硬件版本。
Cisco安全PIX防火墙软件版本5.3.1 。
本文提供的信息在特定实验室环 境里从设备被创建了。用于本文的所有设备开始了以一个缺 省(默认)配置。如果在一个真实网络工作,保证您使用它 以前了解所有命令的潜在影响。
使用NAT 0的多个NAT语句
网络图
在本例中, ISP提供网络管理器以地址范围从199.199.199.1到199.199.199.63 。网络管理器在互联网路由器决定分配199.199.199.1到内部 接口和199.199.199.2到PIX的外部接口。
网络管理员已经安排C类地址分配到他的网络, 200.200.200.0/24,并且有一些工作站使用这些地址访问互联网。 因为他们已经有有效地址,这些工作站不会要求任何地址转 换。然而,新工作站在10.0.0.0/8网络分配地址并且他们将 需要被转换(因为10.X.X.X是其中一个未路由的地址空间每 RFC 1918
。
适 应此网络设计,网络管理员在PIX配置必须使用二个NAT语句和一个 全局池,如下:
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 200.200.200.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
此配置不会转换任 何出局流量的源地址从200.200.200.0/24网络。它在 10.0.0.0/8网络将转换源地址成一个地址从范围199.199.199.3 - 199.199.199.62。
多个全局地址池
网络图
在本例中, 网络管理器有在互联网注册IP 地址的二个范围,并且必须转换所 有内部地址,在10.0.0.0/8范围,成注册的地址。网络管 理器必须使用IP地址的范围是199.199.199.1 至199.199.199.62和 150.150.150.1至150.150.150.254。 网络管理器可能执行此 与:
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
注意我们在我们的NAT语句使用 一个通配符寻址机制。此语句告诉PIX转换所有内部源地址当 出去对互联网时。如果需要地址在此命令可以是更加特定的 。
混合的 NAT和PAT全局语句
网络图
在本例中, ISP再提供网络管理器以地址范围从 199.199.199.1 - 199.199.199.63为他的公司的使用。网络 管理器在互联网路由器在他的PIX决定为内部接口使用 199.199.199.1和199.199.199.2 为外部接口。如此,我们 留下与199.199.199.3 - 199.199.199.62给使用为我们的NAT池。 然而,网络管理器知道,随时,他也许有超过60 个人设法 出去PIX,因此他决定采取199.199.199.62 和做它PAT地址以便多 个用户能同时共享一个地址。
global (outside) 1 199.199.199.3-199.199.199.61 netmask 255.255.255.192
global (outside) 1 199.199.199.62 netmask 255.255.255.192
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
这些命 令指示PIX转换源地址到199.199.199.3 - 199.199.199.61为了前59 个内部用户能横跨PIX通过。在这些地址用尽之后,PIX 然 后将转换所有随后的源地址到199.199.199.62 直到其中一个地址 在NAT池任意成为。
注意: 我们在我们的NAT 语句使用一个通配符寻址机 制。此语句告诉PIX转换所有内部源地址当出去对互联网时。 如果需要地址在此命令可以是更加特定的。
多项NAT语句带有 Nat 0 access-list
网络图
在本例中, ISP再提供网络管理器以地址范围从 199.199.199.1 - 199.199.199.63。网络管理器在互联网路 由器决定分配199.199.199.1到内部接口和199.199.199.2到PIX的外 部接口。
然而,在此方案我们安置了 另一个专用LAN分段我们的互联网路由器。当主机在这两个网 络彼此时,谈网络管理器宁可不浪费地址从他的全局池。网 络管理器仍然需要转换源地址为所有他的内部用户(10.0.0.0/8) 当 出去对互联网时。
access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
此配置不会转换那 些地址带有源地址为10.0.0.0/8和目的地地址为192.168.1.0/24。 它将转换源地址从所有数据流初始化从10.0.0.0/8 网络内 和注定为任何地方除192.168.1.0/24之外到一个地址从范围 199.199.199.3 - 199.199.199.62。
如果有write terminal命令的输出 从您的Cisco设备,您能使用 Output Interpreter
显示潜在问题和修正。使用 Output Interpreter
,您必须是一个 注册的用户,登录,并且安排 Javascript 被启用。
