(完整版)ASA防火墙NAT新版老版的配置方法对比(完整版)ASA防火墙NAT新版老版的配置方法对比(完整版)ASA防火墙NAT新版老版的配置方法对比ASA8.3以后，NAT算是发生了很大的改变，之前也看过8。4的ASA，改变的还有VPN，加入了Ikev2.MPF方法加入了新的东西，QOS和策略都加强了，这算是HYPERLINK"http：//www。santongit。com/”\t"_blank”Cisco把CCSP的课程改为HYPERLINK”http://www。santongit。com/"\t"_blank”CCNPSecurity的改革吧！无标题.jpg（27。44KB,下载次数:0)HYPERLINK”http://www。santongit.com/forum.php?mod=attachment＆aid=MzEyMHxkOGQzMzA3MHwxNDIyNjY1MjgyfDB8OTQ5Mw％3D%3D&nothumb=yes”\t”_blank”下载附件2014—8—1723：50上传拓扑图就是上面的,基本配置都是一样，地址每个路由器上一条默认路由指向ASA。2。jpg（45.46KB,下载次数:0)HYPERLINK”http://www。santongit.com/forum.php？mod=attachment＆aid=MzEwOXw3ZTFlYzIzMHwxNDIyNjY1MjgyfDB8OTQ5Mw％3D%3D＆nothumb=yes"\t”_blank"下载附件2014-8—1723:50上传基本通信没问题，关于8.3以后推出了两个概念，一个是networkobject它可以代表一个主机或者子网的访问。另外一个是serviceobject，代表服务.1、地址池的形式的NAT配置老版本代表一个12.1。1。0的地址池转换成200.200.200.3—200.200.200.254一对一的转换nat（inside）112。1。1。0255。255。255。0global（outside)1200。200.200。3—200。200。200.254新版本（NetworkobjectNAT)ciscoasa(config）#objectnetworkinsideciscoasa(config—network—object)#subnet12.1.1.0255.255.255。0ciscoasa（config-network—object）＃exitciscoasa（config）#objectnetworkoutside-poolciscoasa（config—network-object)#range200。200.200.3200.200.200.254ciscoasa(config—network—object）＃exitciscoasa（config）＃objectnetworkinsideciscoasa(config-network-object)#nat（inside，outside）dynamicoutside—pool其实，刚开始接触也挺不习惯的,不过弄懂了就习惯了,它的意思是先定义两个object，一个用于代表转换前的地址范围，一个是转化后的地址范围，最后在转换前的object进行调用转化后的object。3。jpg(22。39KB,下载次数：0)HYPERLINK”http://www.santongit。com/forum。php？mod=attachment＆aid=MzExMHwzYTJjYmFmN3wxNDIyNjY1MjgyfDB8OTQ5Mw%3D%3D＆nothumb=yes"\t”_blank"下载附件2014-8—1723：50上传由于地址不是一一对应的，所以这里它就自动选择了.这里为了清楚表达要在需要的地方调用这个策略，所以输入了两次objectnetworkinside，其实我们看先创建一个地址池，然后在创建一个需要转换的范围，然后在这个object里面调用。2、动态PAT，多对一的配置老配置里面可以根据一个地址或者直接跟interface参数来做nat（inside）112.1。1.0255。255.255。0global（outside）1200.200。200。1orinterface新版本（NetworkobjectNAT）ciscoasa(config)＃objectnetworkinsideciscoasa(config-network-object）＃subnet12。1.1.0255.255。255。0ciscoasa(config—network—object）＃nat（inside，outside)dynamic