自适应安全设备(ASA)上的端口地址转换(PAT)功能

端口地址转换（PAT）这是一种网络地址转换（NAT）方式，适用于公共IP地址不足的情况。此时，同一子网内的某个公共IP地址或接口地址会被用于进行地址转换。端口地址转换（PAT）：这种情况也被称为“NAT过载”。在这种情况下，许多本地（私有）IP地址会被转换为一个公共IP地址。有时，这些私有地址会被转换为单一的接口地址。在这种情况下，会使用端口号来区分不同的流量，即确定哪些流量属于哪个IP地址。程序/步骤：该过程的步骤与Dynamic NAT中的步骤几乎相同。不过需要注意的是，在PAT模式下，多个私有IP地址会被转换为一个公共IP地址。

• 步骤1：配置访问列表请构建相应的访问列表，明确允许哪些用户以及使用何种协议来进行访问。
• 步骤2：将访问列表应用到某个接口上。“access-group”命令用于指定上述操作应该执行的方向，即向外还是向内。
• 步骤3：创建网络组或网络对象网络组会指定将在哪些子网或不同子网上应用PAT技术。虽然网络对象只指定了一个子网，但这个子网可以在PAT过程中被进一步用于转换操作。可以说，一个网络组中包含多个网络对象。
• 步骤4：PAT声明这一步骤将明确说明PAT应该进行的方向，以及私有IP地址应该被转换到的IP地址（公共IP地址）。

配置/设置： 如图所示，有三个路由器分别连接到了ASA设备。这三个路由器的IP地址分别为：Router1的IP地址为10.1.1.1/24；Router2的IP地址为11.1.1.1/24；Router3的IP地址为101.1.1.1。ASA设备的IP地址为10.1.1.2/24，名称为INSIDE，其安全等级为100，接口Gi0/0上连接着该设备。另外，ASA设备的另一个接口Gi0/1上的IP地址为11.1.1.2/24，名称为DMZ，其安全等级为50。再另一个接口Gi0/2上的IP地址为101.1.1.2/24，名称为OUTSIDE，其安全等级为0。 在这个任务中，我们将使 PAT 能够处理从内部到外部的流量，以及从 DMZ 到外部的流量。 在所有路由器和ASA设备上配置IP地址。 在路由器1上配置IP地址：

Router1(config)#int fa0/0Router1(config-if)#ip address 10.1.1.1 255.255.255.0Router1(config-if)#no shut 

在Router2上配置IP地址：

Router2(config)#int fa0/0Router2(config-if)#ip address 11.1.1.1 255.255.255.0Router2(config-if)#no shut 

在路由器3上配置IP地址：

Router3(config)#int fa0/0Router3(config-if)#ip address 101.1.1.1 255.255.255.0Router3(config-if)#no shut 

在 ASA的接口上配置IP地址、名称以及安全级别：

asa(config)#int Gi0/0asa(config-if)#no shutasa(config-if)#ip address 10.1.1.2 255.255.255.0asa(config-if)#nameif INSIDE asa(config-if)#security level 100asa(config-if)#exitasa(config)#int Gi0/1asa(config-if)#no shutasa(config-if)#ip address 11.1.1.2 255.255.255.0asa(config-if)#nameif DMZasa(config-if)#security level 50asa(config-if)#exitasa(config)#int Gi0/2asa(config-if)#no shutasa(config-if)#ip address 101.1.1.2 255.255.255.0asa(config-if)#nameif OUTSIDEasa(config-if)#security level 0

现在，我们将静态路由配置给这些路由器。将静态路由配置到Router1上：

Router1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 

将静态路由配置到Router2上：

Router2(config)#ip route 0.0.0.0 0.0.0.0 11.1.1.2 

将静态路由配置到Router3上：

Router3(config)#ip route 0.0.0.0 0.0.0.0 101.1.1.2 

最后，我们完成了对ASA设备的静态路由配置。

asa(config)#route INSIDE 10.1.1.0 255.255.255.0 10.1.1.1asa(config)#route OUTSIDE 101.1.1.0 255.255.255.0 101.1.1.1asa(config)#route DMZ 11.1.1.0 255.255.255.0 10.1.1.1

对于ICMP来说，可以使用ACL来允许从安全性较低的级别向安全性较高的级别发送ICMP回显请求。这样做的原因是，默认情况下，不允许从安全性较低的级别向安全性较高的级别发送任何流量。因此，需要配置相应的访问列表来实现这一功能。

asa(config)#access-list traffic_out permit icmp any any asa(config)#access-list traffic_dmz permit icmp any any 

在这里，我们定义了两个访问列表。第一个访问列表的名称是“traffic_out”，它允许来自外部的ICMP流量进入内部网络（无论源地址是什么，只要具有相应的掩码即可）。第二个访问列表的名称是“traffic_dmz”，它同样允许来自外部的ICMP流量进入DMZ区域（无论源地址是什么，只要具有相应的掩码即可）。请将这两个访问列表应用到ASA的各个接口上。

asa(config)#access-group traffic_out in interface OUTSIDE asa(config)#access-group traffic_dmz in interface DMZ

第一条语句指出，access-list traffic_out规则会被应用于通往OUTSIDE接口的入站方向。第二条语句则指出，access-list traffic_dmz规则会被应用于通往DMZ接口的入站方向。 内部的设备能够向外部的设备和DMZ中的设备发送请求。 任务是在整个子网（10.1.1.0/24）的流量从内部传输到外部时，让PAT功能在ASA上生效。同时，网络中的另一个子网（11.1.1.0/24）的流量从DMZ传输到外部时，这些流量也应该被转换为外部接口地址。

asa(config)#object network inside_natasa(config-network-object)#subnet 10.1.1.0 255.255.255.0asa(config-network-object)#exit

首先，需要指定哪个子网需要进行翻译。同时，还需要指定NAT翻译的方向。

asa(config)#nat (INSIDE, OUTSIDE) source dynamic INSIDE interface

将NAT应用于从DMZ向外发送的流量：

asa(config)#object network dmz_natasa(config-network-object)#subnet 11.1.1.0 255.255.255.0asa(config-network-object)#exit

为这种流量创建NAT池：

asa(config)#object network dmz_nat_poolasa(config-network-object)#range 120.1.1.1 120.1.1.4asa(config-network-object)#exit

自然语言的翻译方向已经明确指定了。

asa(config)#nat (DMZ, OUTSIDE) source dynamic DMZ interface 

上述命令指定了，dmz_nat中的子网应该通过PAT机制被转换为DMZ接口的IP地址。因此，配置PAT的过程与动态NAT的过程非常相似。主要的区别在于，这里需要配置的是外部接口的IP地址，而不是从NAT池中选取一个IP地址来进行转换。优点：这种方式最为常用，因为其成本相对较低。因为只需使用一个全球性的公共IP地址，就可以为数千名用户提供网络连接。