前言
本文在CiscoSecure PIX 防火墻提供基本的NAT 和PAT配置示例。提供簡化的網絡圖表 。 對于詳細信息,參考您的PIX軟件版本的PIX文檔。
前提
本文的讀者應該是熟知 關于Cisco安全PIX防火墻。
使用的組件
本文的信息根據以下的軟件及硬件版本。
-
Cisco安全PIX防火墻軟件版本5.3.1 。
本文提供的信息在特定實驗室環 境里從設備被創建了。用于本文的所有設備開始了以一個缺 省(默認)配置。如果在一個真實網絡工作,保證您使用它 以前了解所有命令的潛在影響。
使用NAT 0的多個NAT語句
網絡圖
![]("http://www.net130.com/Fsmanage/RoUpimages/2004112611321.gif")
在本例中, ISP提供網絡管理器以地址范圍從199.199.199.1到199.199.199.63 。網絡管理器在互聯網路由器決定分配199.199.199.1到內部 接口和199.199.199.2到PIX的外部接口。
網絡管理員已經安排C類地址分配到他的網絡, 200.200.200.0/24,并且有一些工作站使用這些地址訪問互聯網。 因為他們已經有有效地址,這些工作站不會要求任何地址轉 換。然而,新工作站在10.0.0.0/8網絡分配地址并且他們將 需要被轉換(因為10.X.X.X是其中一個未路由的地址空間每 RFC 1918 。
適 應此網絡設計,網絡管理員在PIX配置必須使用二個NAT語句和一個 全局池,如下:
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 200.200.200.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
此配置不會轉換任 何出局流量的源地址從200.200.200.0/24網絡。它在 10.0.0.0/8網絡將轉換源地址成一個地址從范圍199.199.199.3 - 199.199.199.62。
[page]
多個全局地址池
網絡圖
![]("http://www.net130.com/Fsmanage/RoUpimages/2004112611334.gif")
在本例中, 網絡管理器有在互聯網注冊IP 地址的二個范圍,并且必須轉換所 有內部地址,在10.0.0.0/8范圍,成注冊的地址。網絡管 理器必須使用IP地址的范圍是199.199.199.1 至199.199.199.62和 150.150.150.1至150.150.150.254。 網絡管理器可能執行此 與:
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
注意我們在我們的NAT語句使用 一個通配符尋址機制。此語句告訴PIX轉換所有內部源地址當 出去對互聯網時。如果需要地址在此命令可以是更加特定的 。
混合的 NAT和PAT全局語句
網絡圖
![]("http://www.net130.com/Fsmanage/RoUpimages/2004112611335.gif")
在本例中, ISP再提供網絡管理器以地址范圍從 199.199.199.1 - 199.199.199.63為他的公司的使用。網絡 管理器在互聯網路由器在他的PIX決定為內部接口使用 199.199.199.1和199.199.199.2 為外部接口。如此,我們 留下與199.199.199.3 - 199.199.199.62給使用為我們的NAT池。 然而,網絡管理器知道,隨時,他也許有超過60 個人設法 出去PIX,因此他決定采取199.199.199.62 和做它PAT地址以便多 個用戶能同時共享一個地址。
global (outside) 1 199.199.199.3-199.199.199.61 netmask 255.255.255.192
global (outside) 1 199.199.199.62 netmask 255.255.255.192
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
這些命 令指示PIX轉換源地址到199.199.199.3 - 199.199.199.61為了前59 個內部用戶能橫跨PIX通過。在這些地址用盡之后,PIX 然 后將轉換所有隨后的源地址到199.199.199.62 直到其中一個地址 在NAT池任意成為。
注意: 我們在我們的NAT 語句使用一個通配符尋址機 制。此語句告訴PIX轉換所有內部源地址當出去對互聯網時。 如果需要地址在此命令可以是更加特定的。
多項NAT語句帶有 Nat 0 access-list
網絡圖
![]("http://www.net130.com/Fsmanage/RoUpimages/2004112611336.gif")
在本例中, ISP再提供網絡管理器以地址范圍從 199.199.199.1 - 199.199.199.63。網絡管理器在互聯網路 由器決定分配199.199.199.1到內部接口和199.199.199.2到PIX的外 部接口。
然而,在此方案我們安置了 另一個專用LAN分段我們的互聯網路由器。當主機在這兩個網 絡彼此時,談網絡管理器寧可不浪費地址從他的全局池。網 絡管理器仍然需要轉換源地址為所有他的內部用戶(10.0.0.0/8) 當 出去對互聯網時。
access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
此配置不會轉換那 些地址帶有源地址為10.0.0.0/8和目的地地址為192.168.1.0/24。 它將轉換源地址從所有數據流初始化從10.0.0.0/8 網絡內 和注定為任何地方除192.168.1.0/24之外到一個地址從范圍 199.199.199.3 - 199.199.199.62。
如果有write terminal命令的輸出 從您的Cisco設備,您能使用 <-- javascript -->Output Interpreter 顯示潛在問題和修正。使用 <-- javascript -->Output Interpreter ,您必須是一個 注冊的用戶,登錄,并且安排 Javascript 被啟用。
