静态NAT（适用于ASA设备）

先决条件：自适应安全设备（ASA），网络地址转换（NAT）功能。 ASA是Cisco公司的一款安全设备，具备经典的防火墙功能，如静态数据包过滤、基于状态的包过滤、病毒防护以及入侵防御功能。 网络地址转换（NAT）是一种将私有IP地址转换为公共IP地址的过程。通过这种方式，原始源设备的IP地址可以被隐藏起来，从而防止外部网络直接访问该设备的IP地址。静态NAT –在这种情况下，一个未注册的私有IP地址会被映射到一个已合法注册的公有IP地址上。也就是说，本地地址与全球地址之间存在一对一的对应关系。这些技术通常用于网络托管和家庭网络中。 这些设备并不被组织所使用，因为有许多设备需要接入互联网。而要实现互联网接入，就需要使用公共IP地址。 假设有3000台设备需要接入互联网，那么该组织就需要购买3000个公共地址。这将会带来相当大的成本负担。程序/流程

• 步骤1：配置访问列表。请构建该访问列表，明确允许哪些用户进行访问，以及应使用何种协议来进行访问。
• 步骤2：将访问控制列表应用到某个接口上。“access-group”命令用于指定上述操作应执行的方向，即是向外发送还是向内发送。
• 步骤3：创建网络对象 –这将指定了将应用NAT功能的主机。
• 步骤4：创建静态NAT配置语句。这一步骤决定了NAT应该进行的方向，以及私有IP地址应该被转换到哪个IP地址上。例如：NAT（DMZ，外部）静态转换，目标IP地址为111.1.1.1。这意味着，当流量从DMZ传输到外部时，将会进行静态NAT转换操作，并将该IP地址转换为111.1.1.1。

注意：该访问控制列表被设置为允许来自外部的ICMP流量进入DMZ或内部网络。因为默认情况下，ASA（自适应安全设备）不允许来自较低安全级别的网络向较高安全级别的网络发送ICMP流量。例如——如图所示，有三条路由器分别连接到了ASA设备。具体信息如下： Router1的IP地址为10.1.1.1/24； Router2的IP地址为11.1.1.1/24； Router3的IP地址为101.1.1.1。 ASA设备的IP地址为10.1.1.2/24，名称为INSIDE，安全级别为100，位于接口Gi0/0上。 另外，ASA设备的另一个接口Gi0/1的IP地址为11.1.1.2/24，名称为DMZ，安全级别为50。再一个接口Gi0/2的IP地址为101.1.1.2/24，名称为OUTSIDE，安全级别为0。 在这个任务中，我们将为从内部到外部的流量以及从DMZ到外部的流量启用静态NAT功能。 在所有路由器和ASA设备上配置IP地址。 在Router1上配置IP地址。

Router1(config)#int fa0/0
Router1(config-if)#ip address 10.1.1.1 255.255.255.0
Router1(config-if)#no shut 

在Router2上配置IP地址。

Router2(config)#int fa0/0
Router2(config-if)#ip address 11.1.1.1 255.255.255.0
Router2(config-if)#no shut 

在路由器3上配置IP地址。

Router3(config)#int fa0/0
Router3(config-if)#ip address 101.1.1.1 255.255.255.0
Router3(config-if)#no shut 

在 ASA的接口上配置IP地址、名称以及安全级别。

asa(config)#int Gi0/0
asa(config-if)#no shut
asa(config-if)#ip address 10.1.1.2 255.255.255.0
asa(config-if)#nameif INSIDE 
asa(config-if)#security level 100
asa(config-if)#exit
asa(config)#int Gi0/1
asa(config-if)#no shut
asa(config-if)#ip address 11.1.1.2 255.255.255.0
asa(config-if)#nameif DMZ
asa(config-if)#security level 50
asa(config-if)#exit
asa(config)#int Gi0/2
asa(config-if)#no shut
asa(config-if)#ip address 101.1.1.2 255.255.255.0
asa(config-if)#nameif OUTSIDE
asa(config-if)#security level 0

现在，我们将静态路由配置给这些路由器。将静态路由配置到Router1上。

Router1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 

将静态路由配置到Router2上。

Router2(config)#ip route 0.0.0.0 0.0.0.0 11.1.1.2 

将静态路由配置到Router3上。

Router3(config)#ip route 0.0.0.0 0.0.0.0 101.1.1.2 

现在，终于可以配置静态路由了，以指向ASA设备。

asa(config)#route INSIDE 10.1.1.0 255.255.255.0 10.1.1.1
asa(config)#route OUTSIDE 101.1.1.0 255.255.255.0 101.1.1.1
asa(config)#route DMZ 11.1.1.0 255.255.255.0 10.1.1.1

对于ICMP来说，要么我们必须检查相关情况，要么需要使用ACL来允许从安全性较低的级别向安全性较高的级别发送ICMP回显响应。之所以需要这样做，是因为默认情况下，不允许从安全性较低的级别向安全性较高的级别发送任何流量。在这种情况下，我们将使用ACL来实现这一功能。

asa(config)#access-list traffic_out permit icmp any any 
asa(config)#access-list traffic_dmz permit icmp any any 

在这里，我们定义了两个访问列表。 第一个访问列表的名称是“traffic_out”，它允许来自外部的ICMP流量进入内部网络（这些流量的IP地址可以是任何掩码）。 第二个访问列表的名称是“traffic_dmz”，它同样允许来自外部的ICMP流量进入DMZ区域（这些流量的IP地址也是可以是任何掩码）。 现在，我们需要将这两个访问列表应用到ASA的各个接口上。

asa(config)#access-group traffic_out in interface OUTSIDE 
asa(config)#access-group traffic_dmz in interface DMZ

第一条语句表明，access-list traffic_out被应用于向OUTSIDE接口发送的数据包。第二条语句则表明，access-list traffic_dmz被应用于向DMZ接口发送的数据包。现在，内部的设备可以ping通外部和DMZ中的设备了。接下来，当数据从内部发送到外部或DMZ时，需要在ASA上启用NAT功能。

asa(config)#object network INSIDE_OUTSIDE_NAT
asa(config-network-object)#host 10.1.1.1
asa(config-network-object)#nat (INSIDE, OUTSIDE) static 110.1.1.1 

在这里，当流量从内部传输到外部时，主机10.1.1.1将会被转换为110.1.1.1。

asa(config)#object network DMZ_OUTSIDE_NAT
asa(config-network-object)#host 11.1.1.1
asa(config-network-object)#exit
asa(config)#nat (DMZ, OUTSIDE) static 111.1.1.1 

在这里，当流量从DMZ传输到外部网络时，主机11.1.1.1的地址将会被转换为111.1.1.1。