网络对象 NAT
|
8.3(1)
|
为网络对象 IP 地址配置 NAT。
引入或修改了以下命令:nat(对象网络配置模式)、show nat、show xlate、show nat pool。
|
两次 NAT
|
8.3(1)
|
两次 NAT 可供您在单一规则中同时标识源和目标地址。
修改或引入了以下命令:nat、show nat、show xlate、show nat pool。
|
身份 NAT 可配置代理 ARP 和路由查找
|
8.4(2)/8.5(1)
|
在身份 NAT 的更早版本中,代理 ARP 被禁用,始终使用路由查找确定出口接口。无法配置这些设置。在 8.4(2) 及更高版本中,身份 NAT 的默认行为已更改为匹配其他静态 NAT 配置的行为:在默认情况下,代理 ARP 已启用,并且 NAT
配置确定出口接口(如已指定)。您可以原样保留这些设置,或者单独启用或禁用这些设置。请注意,现在您也可以为常规静态 NAT 禁用代理 ARP。
对于 8.3 之前版本的配置,NAT 免除规则(nat 0 access-list 命令)至 8.4(2) 及更高版本的迁移现包含以下关键字,以禁用代理 ARP 并使用路由查找:no-proxy-arp 和 route-lookup。用于迁移至 8.3(2) 和 8.4(1) 的 unidirectional 关键字不再用于迁移。从 8.3(1)、8.3(2) 和 8.4(1) 升级至 8.4(2) 时,所有身份 NAT 配置现包含 no-proxy-arp 和 route-lookup 关键字,以便维持现有功能。unidirectional 关键字已删除。
修改了以下命令:nat static [no-proxy-arp] [route-lookup]。
|
PAT 池和轮询地址分配
|
8.4(2)/8.5(1)
|
现在,您可以指定 PAT 地址池,而不是单一地址。或者还可以启用 PAT 地址的轮询分配,而不是先使用 PAT 地址上的所有端口,然后再使用池中的下一个地址。这些功能有助于防止来自单一 PAT 地址的大量连接显示为 DoS 攻击的一部分,并使大量
PAT 地址的配置过程更轻松。
修改了以下命令:nat dynamic [pat-pool mapped_object [round-robin]] 和 nat source dynamic [pat-pool mapped_object [round-robin]]。
|
轮询 PAT 池分配技术使用现有主机的相同 IP 地址
|
8.4(3)
|
组合使用 PAT 池与轮询分配时,如果主机拥有现有连接,且有端口可用,则来自该主机的后续连接将使用相同的 PAT IP 地址。
未修改任何命令。
此功能在 8.5(1) 或 8.6(1) 中不可用。
|
用于 PAT 池的不分段 PAT 端口范围
|
8.4(3)
|
如果可用,实际源端口号将用于映射端口。然而,如果实际端口不可用,将默认从与实际端口号相同的端口范围选择映射端口:0 至 511、512 至 1023 以及 1024 至 65535。因此,1024 以下的端口只有一个小 PAT 池。
如果大量流量使用较小的端口范围,在使用 PAT 池时,现可指定使用以下不分段端口范围,代替三个分段大小不等的端口范围:1024 至 65535,或 1 至 65535。
修改了以下命令:nat dynamic [pat-pool mapped_object [flat [include-reserve]]] 和 nat source dynamic [pat-pool mapped_object [flat [include-reserve]]]。
此功能在 8.5(1) 或 8.6(1) 中不可用。
|
用于 PAT 池的扩展 PAT
|
8.4(3)
|
每个 PAT IP 地址允许最多 65535 个端口。如果 65535 个端口不能提供足够的转换,则现可启用适合 PAT 池的扩展 PAT。通过将目标地址和端口纳入转换信息,相对于按 IP 地址,扩展 PAT 将按服务使用 65535 个端口。
修改了以下命令:nat dynamic [pat-pool mapped_object [extended]] 和 nat source dynamic [pat-pool mapped_object [extended]]。
此功能在 8.5(1) 或 8.6(1) 中不可用。
|
自动 NAT 规则,可将 VPN 对等体的本地 IP 地址转换回对等体的实际 IP 地址
|
8.4(3)
|
在极少数情况下,您可能要在内部网络上使用 VPN 对等体的实际 IP 地址,而非已分配的本地 IP 地址。通常在使用 VPN 的情况下,对等体会获得分配的本地 IP 地址以访问内部网络。但是,例如在内部服务器和网络安全基于对等体的实际 IP 地址情况下,可能要将本地
IP 地址重新转换为对等体的实际公有 IP 地址。
可以在每个隧道组一个接口的基础上启用此功能。当 VPN 会话已建立或断开连接时,动态添加或删除对象 NAT 规则。可使用 show nat 命令查看这些规则。
由于路由问题,我们不建议使用此功能,除非您知道自己需要此功能;请联系思科 TAC 确认网络的功能兼容性。请参阅以下限制:
引入了以下命令:nat-assigned-to-public-ip interface(tunnel-group general-attributes 配置模式)。
|
NAT 支持 IPv6
|
9.0(1)
|
NAT 现在支持 IPv6 流量,以及 IPv4 和 IPv6 之间的转换。在透明模式下,不支持 IPv4 和 IPv6 之间的转换。
修改了以下命令:nat(全局和对象网络配置模式)、show nat、show nat pool、show xlate。
|
NAT 支持反向 DNS 查找
|
9.0(1)
|
在为 NAT 规则启用了 DNS 检测的情况下使用 IPv4 NAT、IPv6 NAT 和 NAT64 时,NAT 现支持为反向 DNS 查找转换 DNS PTR 记录。
|
每会话 PAT
|
9.0(1)
|
每会话 PAT 功能可以提高 PAT 的可扩展性,对于集群,允许每个成员单元拥有自己的 PAT 连接;多会话 PAT 连接必须转发到主单元并且归控制单元所有。在每会话 PAT 会话结束时,ASA 将发送一条重置消息并立即删除转换。此重置会使结束节点立即释放连接,避免
TIME_WAIT 状态。另一方面,多会话 PAT 使用 PAT 超时,默认为 30 秒。对于“命中并运行”的数据流,例如 HTTP 或 HTTPS,每会话功能可以显著提高一个地址支持的连接速度。不使用每会话功能时,一个用于 IP 协议的地址的最大连接速率约为每秒
2000。在使用每会话功能的情况下,对于 IP 协议,一个地址的连接速率为 65535/average-lifetime。
默认情况下,所有 TCP 流量和 UDP DNS 流量都使用每会话 PAT xlate。对于需要多会话 PAT 的流量,如 H.323、SIP 或 Skinny,可通过创建每会话拒绝规则来禁用每会话 PAT。
引入了以下命令:xlate per-session、show nat pool。
|
NAT 规则引擎上的事务提交模式
|
9.3(1)
|
启用时,NAT 规则更新将在规则编译完成后应用,而不影响规则匹配性能。
我们已将 nat 关键字添加至以下命令:asp rule-engine transactional-commit、show running-config asp rule-engine transactional-commit、clear configure asp rule-engine transactional-commit。
我们向以下屏幕中添加了 NAT:Configuration > Device Management > Advanced > Rule Engine。
|
对运营商级 NAT 的改进
|
9.5(1)
|
对于运营商级或大规模 PAT,您可以为每台主机分配端口块,而无需通过 NAT 一次分配一个端口转换(请参阅 RFC 6888)。
添加了以下命令:xlate block-allocation size 、xlate block-allocation maximum-per-host 。向 nat 命令中添加了 block-allocation 关键词。
|
SCTP 的 NAT 支持
|
9.5(2)
|
现在,可以在静态网络对象 NAT 规则中指定 SCTP 端口。建议不要在静态两次 NAT 中使用 SCTP。动态 NAT/PAT 不支持 SCTP。
修改了以下命令:nat static (object)。
|
NAT 端口块分配的临时日志。
|
9.12(1)
|
当对 NAT 启用端口块分配功能后,系统会在端口块创建和删除操作发生时生成系统日志消息。如果启用临时日志,系统会按您指定的时间间隔生成消息 305017。这些消息会报告消息生成时所有已分配的活动端口块,包括协议(ICMP、TCP、UDP、源和目标接口与
IP 地址,以及端口块。
添加了以下命令:xlate block-allocation pba-interim-logging seconds 。
|
集群中对PAT地址分配的更改。PAT 池 flat 选项现在已默认启用,并且不可配置。
|
9.15(1)
|
更改PAT地址分配给集群成员的方式。以前,地址是分配给集群成员的,因此您的PAT池每个集群成员至少需要一个地址。现在,控制设备改为将每个PAT池地址划分为大小相等的端口块,并在集群成员之间分配它们。每个成员都有相同 PAT 地址的端口块。因此,您可以根据通常需要
PAT 的连接数量,将 PAT 池的大小减小到一个 IP 地址。能在 1024-65535 范围内,在 512 端口块中分配端口块。配置 PAT 池规则时,可以选择在此块分配中包含保留端口 1-1023。例如,在4节点集群中,每个节点获得32个数据块,与每个PAT池IP地址处理65535个连接的单个节点相比,它能够处理每个PAT池IP地址16384个连接。
作为此更改的一部分,所有系统的PAT池(无论是独立系统还是在集群中运行)现在都使用1023-65535的平面端口范围。以前,您可以通过在 PAT 池 flat 规则中包含关键字,选择性地使用平面范围。不再支持 flat 关键字:PAT池现在始终为平面。include-reserve 关键字以前是 flat 的子关键字,现在则是 PAT 池配置中的独立关键字。使用此选项,您可以在 PAT 池中包括 1-1023 端口范围。
请注意,如果配置端口块分配(block-allocation PAT 池选项),则会使用块分配大小,而不是默认的 512 端口块。此外,不能为集群中的系统的PAT池配置扩展PAT。
新增/修改的命令: nat 、show nat pool
|
新增的系统定义的 NAT 规则的第 0 部分。
|
9.16(1)
|
向 NAT 规则表添加了新的第 0 部分。此部分专门供系统使用。系统正常运行所需的任何 NAT 规则都添加到此部分,这些规则优先于您创建的任何规则。以前,系统定义的规则添加到第 1 部分,用户定义的规则可能会干扰系统的正常运行。您无法添加、编辑或删除第
0 部分中的规则,但您会在 show nat detail 命令输出中看到这些规则。
|
两次 NAT 支持完全限定域名 (FQDN) 对象作为转换(映像)目的。
|
9.17(1)
|
您可以使用 FQDN 网络对象(例如指定 www.example.com 的网络对象)作为二次 NAT 规则中的转换(映射)目标地址。系统根据 DNS 服务器返回的 IP 地址配置规则。
|