下图显示路由模式下的一个典型 NAT 示例，专用网络位于内部。

1. 当位于 10.1.2.27 的内部主机向 Web 服务器发送数据包时，数据包的实际源地址 10.1.2.27 会转换为映射地址 209.165.201.10。

2. 当服务器响应时，它会将响应发送到映射地址 209.165.201.10，ASA 接收数据包，因为 ASA 执行代理 ARP 以认领数据包。

3. 接下来，ASA 变更从映射地址 209.165.201.10 回到实际地址 10.1.2.27 的转换，然后再发送到主机。

在透明模式下使用 NAT 可以消除上游或下游路由器为其网络执行 NAT 的需求。在路由模式下，NAT 可以执行与桥接组内类似的功能。

透明模式下的 NAT或在路由模式下同一桥接组的成员之间具有以下要求和局限性：

• 当映射地址是桥接组成员接口时，不能配置接口 PAT，因为没有 IP 地址连接到该接口。

• 不支持 ARP 检测。此外，如果由于某种原因，ASA 一端的主机向 ASA 另一端的主机发送 ARP 请求，而且发起主机实际地址被映射到同一子网的不同地址，则实际地址在 ARP 请求中依然可见。

• 不支持在 IPv4 和 IPv6 网络之间进行转换。支持在两个 IPv6 网络之间或两个 IPv4 网络之间进行转换。

下图显示透明模式下的典型 NAT 场景，内部接口和外部接口上的网络相同。在此场景中，透明防火墙执行 NAT 服务，因此上游路由器不必执行 NAT。

1. 当位于 10.1.1.75 的内部主机将数据包发送到 Web 服务器时，数据包的实际源地址 10.1.1.75 被更改为映射地址 209.165.201.15。

2. 当服务器响应时，它将响应发送到映射地址 209.165.201.15，ASA 接收数据包，因为上游路由器将此映射网络包含在定向到 ASA 管理 IP 地址的静态路由中。

3. 然后，ASA 取消映射地址 209.165.201.15 回到实际地址 10.1.1.1.75 的转换。因为实际地址是直接连接的，所以 ASA 将实际地址直接发送到主机。

4. 对于主机 192.168.1.2，发生相同流程，但返回流量除外，ASA 在其路由表中查询路由，根据 192.168.1.0/24 的 ASA 静态路由，将数据包发送到位于 10.1.1.3 的下游路由器。

将实际地址转换为映射地址时，如果需要，您选择的映射地址将确定如何为映射地址配置路由。

请参阅其他 NAT 准则，了解有关映射 IP 地址的其他准则。

以下主题介绍映射地址类型。

在透明模式下使用 NAT 时，某些类型的流量要求静态路由。有关更多信息，请参阅一般操作配置指南。

下图显示访问互联网的内部服务器 (10.1.1.6) 和 VPN 客户端 (209.165.201.10)。除非为 VPN 客户端配置拆分隧道（只有指定流量会流经 VPN 隧道），否则互联网绑定的 VPN 流量还必须流经 ASA。当 VPN 流量传入 ASA 时，ASA 会解密数据包；生成的数据包会将 VPN 客户端本地地址 (10.3.3.10) 作为源。对于内部和 VPN 客户端本地网络，需要使用 NAT 提供的公用 IP 地址访问互联网。以下示例使用接口 PAT 规则。为使 VPN 流量可以退出其已进入的相同接口，还需要启用接口内通信（也称为“发夹”网络）。

下图显示要访问内部邮件服务器的 VPN 客户端。由于 ASA 预计内部网络与任何外部网络之间的流量与您为互联网访问设置的 PAT 规则匹配，所以从 VPN 客户端 (10.3.3.10) 流向 SMTP 服务器 (10.1.1.6) 的流量会由于反向路径失败而被丢弃：从 10.3.3.10 流向 10.1.1.6 的流量与 NAT 规则不匹配，但从 10.1.1.6 返回 10.3.3.10 的流量应与外发流量的接口 PAT 规则匹配。由于转发流和反向流不匹配，ASA 在收到数据包时会将其丢弃。为避免这种故障，需要在那些网络之间使用身份 NAT 规则，使内部到 VPN 客户端流量免于应用接口 PAT 规则。身份 NAT 只能将地址转换为其相同的地址。

请参阅以下用于上述网络的 NAT 配置示例：

! Enable hairpin for non-split-tunneled VPN client traffic:
same-security-traffic permit intra-interface

! Identify local VPN network, & perform object interface PAT when going to Internet:
object network vpn_local
subnet 10.3.3.0 255.255.255.0
nat (outside,outside) dynamic interface

! Identify inside network, & perform object interface PAT when going to Internet:
object network inside_nw
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface

! Use twice NAT to pass traffic between the inside network and the VPN client without
! address translation (identity NAT):
nat (inside,outside) source static inside_nw inside_nw destination static vpn_local vpn_local

使用 VPN 时，可允许管理访问连接到与您进入 ASA 所用接口不同的接口（请参阅 management-access 命令）。例如，如果您从外部接口进入 ASA，则管理访问功能允许您使用 ASDM、SSH、Telnet 或 SNMP 连接到内部接口；或者可以 ping 连接内部接口。

下图显示使用 Telnet 连接到 ASA 内部接口的 VPN 客户端。当使用管理访问接口，并且根据 NAT 和远程访问 VPN或 NAT 和站点间 VPN配置身份 NAT 时，必须为 NAT 配置路由查询选项。如果未配置路由查询，ASA 会将流量传出 NAT 命令中指定的接口，不考虑路由表规则；在以下示例中，出口接口为内部接口。您不希望 ASA 将管理流量发送到内部网络，否则它们将再不会回到内部接口 IP 地址。路由查询选项允许 ASA 将流量直接发送到内部接口 IP 地址，而不是流入内部网络。对于从 VPN 客户端到内部网络上的主机的流量，路由查询选项仍将导致正确的出口接口（内部），因此，正常业务流不会受到影响。有关路由查询选项的详细信息，请参阅确定出口接口。

请参阅以下用于上述网络的 NAT 配置示例：

! Enable hairpin for non-split-tunneled VPN client traffic:
same-security-traffic permit intra-interface

! Enable management access on inside ifc:
management-access inside

! Identify local VPN network, & perform object interface PAT when going to Internet:
object network vpn_local
subnet 10.3.3.0 255.255.255.0
nat (outside,outside) dynamic interface

! Identify inside network, & perform object interface PAT when going to Internet:
object network inside_nw
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface

! Use twice NAT to pass traffic between the inside network and the VPN client without
! address translation (identity NAT), w/route-lookup:
nat (outside,inside) source static vpn_local vpn_local 
destination static inside_nw inside_nw route-lookup

请参阅以下用于排除 VPN 中 NAT 问题的监控工具：

• 数据包跟踪器 - 正确使用时，数据包跟踪器显示数据包命中了哪些 NAT 规则。

• show nat detail - 显示给定 NAT 规则的命中数和未转换流量。

• show conn all - 让您查看活动连接，包括流向设备的流量和通过设备的流量。

要让自己熟悉非工作配置和工作配置，可以执行以下步骤：

1. 配置无身份 NAT 的 VPN。

2. 输入 show nat detail 和 show conn all。

3. 添加身份 NAT 配置。

4. 重复 show nat detail 和 show conn all。

当流量从 IPv6 网络进入仅 IPv4 网络时，您需要将 IPv6 地址转换为 IPv4 地址，并将流量从 Ipv4 返回 IPv6。您需要定义两个地址池，一个 IPv4 地址池用于绑定 IPv4 网络中的 IPv6 地址，另一个 IPv6 地址池用于绑定 IPv6 网络中的 IPv4 地址。

• NAT64 规则的 IPv4 地址池一般较小，通常可能没有足够的地址与 IPv6 客户端地址一对一映射。与动态或静态 NAT 相比，动态 PAT 可以更容易满足可能的大量 IPv6 客户端地址需要。

• NAT46 规则的 IPv6 地址池可以等于或大于要映射的 IPv4 地址数。这允许每个 IPv4 地址映射到不同的 IPv6 地址。NAT46 仅支持静态映射，因此您不能使用动态 PAT。

您需要定义两个策略，一个用于源 IPv6 网络，一个用于目标 IPv4 网络。虽然您可以使用单一 两次 NAT 规则完成此任务，但如果 DNS 服务器位于外部网络，则可能需要重写 DNS 响应。由于在指定了目标的情况下，无法在两次 NAT 规则中启用 DNS 重写，所以最好创建两个网络对象 NAT 规则。

当从一个 IPv6 网络进入另一个 IPv6 网络时，您可以将地址转换为外部网络上的不同 IPv6 地址。我们建议使用静态 NAT。尽管可以使用 NAT 或 PAT，但由于 IPv6 地址大量供应，因此不必使用动态 NAT。

因为您不是在不同的地址类型之间转换，所以您需要一个单一的 NAT66 转换规则。使用网络对象 NAT 可轻松地为这些规则建模。但是，如果不想允许返回流量，您可以仅使用两次 NAT 将静态 NAT 规则设为单向。

下图显示一个内部网络的用户正在从外部 DNS 服务器请求 DMZ 网络上的 ftp.cisco.com 的 IP 地址。DNS 服务器根据外部网络和 DMZ 网络之间的静态规则，以映射地址 (209.165.201.10) 作为应答，即使该用户不在 DMZ 网络中。ASA 将 DNS 应答内的地址转换为 10.1.3.14。

如果用户需要使用实际地址访问 ftp.cisco.com，则无需更多配置。如果内部网络和 DMZ 网络之间也有静态规则，还需要在此规则上启用 DNS 应答修改。然后，修改 DNS 应答两次。这种情况下，ASA 会根据内部和 DMZ 之间的静态规则将 DNS 应答内的地址重新转换为 192.168.1.10。

下图显示外部网络上的 FTP 服务器和 DNS 服务器。ASA 包含用于外部服务器的静态转换。在这种情况下，当内部用户为 10.1.2.56 执行逆向 DNS 查询时，ASA 将使用实际地址修改逆向 DNS 查询，而 DNS 服务器将使用服务器名称 ftp.cisco.com 提供响应。