前言

本文在CiscoSecure PIX 防火墻提供基本的NAT 和PAT配置示例。提供簡化的網絡圖表 。 對于詳細信息，參考您的PIX軟件版本的PIX文檔。

前提

本文的讀者應該是熟知 關于Cisco安全PIX防火墻。

使用的組件

本文的信息根據以下的軟件及硬件版本。

• Cisco安全PIX防火墻軟件版本5.3.1 。

本文提供的信息在特定實驗室環 境里從設備被創建了。用于本文的所有設備開始了以一個缺 ?。J）配置。如果在一個真實網絡工作，保證您使用它 以前了解所有命令的潛在影響。

使用NAT 0的多個NAT語句

網絡圖

在本例中， ISP提供網絡管理器以地址范圍從199.199.199.1到199.199.199.63 。網絡管理器在互聯網路由器決定分配199.199.199.1到內部 接口和199.199.199.2到PIX的外部接口。

網絡管理員已經安排C類地址分配到他的網絡， 200.200.200.0/24，并且有一些工作站使用這些地址訪問互聯網。 因為他們已經有有效地址，這些工作站不會要求任何地址轉 換。然而，新工作站在10.0.0.0/8網絡分配地址并且他們將 需要被轉換(因為10.X.X.X是其中一個未路由的地址空間每 RFC 1918 。

適 應此網絡設計，網絡管理員在PIX配置必須使用二個NAT語句和一個 全局池，如下：
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 200.200.200.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0

此配置不會轉換任 何出局流量的源地址從200.200.200.0/24網絡。它在 10.0.0.0/8網絡將轉換源地址成一個地址從范圍199.199.199.3 - 199.199.199.62。

[page]

多個全局地址池

網絡圖

在本例中， 網絡管理器有在互聯網注冊IP 地址的二個范圍，并且必須轉換所 有內部地址，在10.0.0.0/8范圍，成注冊的地址。網絡管 理器必須使用IP地址的范圍是199.199.199.1 至199.199.199.62和 150.150.150.1至150.150.150.254。 網絡管理器可能執行此 與：
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

注意我們在我們的NAT語句使用 一個通配符尋址機制。此語句告訴PIX轉換所有內部源地址當 出去對互聯網時。如果需要地址在此命令可以是更加特定的 。

混合的 NAT和PAT全局語句

網絡圖

在本例中， ISP再提供網絡管理器以地址范圍從 199.199.199.1 - 199.199.199.63為他的公司的使用。網絡 管理器在互聯網路由器在他的PIX決定為內部接口使用 199.199.199.1和199.199.199.2 為外部接口。如此，我們 留下與199.199.199.3 - 199.199.199.62給使用為我們的NAT池。 然而，網絡管理器知道，隨時，他也許有超過60 個人設法 出去PIX，因此他決定采取199.199.199.62 和做它PAT地址以便多 個用戶能同時共享一個地址。

global (outside) 1 199.199.199.3-199.199.199.61 netmask 255.255.255.192
global (outside) 1 199.199.199.62 netmask 255.255.255.192
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

這些命 令指示PIX轉換源地址到199.199.199.3 - 199.199.199.61為了前59 個內部用戶能橫跨PIX通過。在這些地址用盡之后，PIX 然 后將轉換所有隨后的源地址到199.199.199.62 直到其中一個地址 在NAT池任意成為。

注意： 我們在我們的NAT 語句使用一個通配符尋址機 制。此語句告訴PIX轉換所有內部源地址當出去對互聯網時。 如果需要地址在此命令可以是更加特定的。

多項NAT語句帶有 Nat 0 access-list

網絡圖

在本例中， ISP再提供網絡管理器以地址范圍從 199.199.199.1 - 199.199.199.63。網絡管理器在互聯網路 由器決定分配199.199.199.1到內部接口和199.199.199.2到PIX的外 部接口。

然而，在此方案我們安置了 另一個專用LAN分段我們的互聯網路由器。當主機在這兩個網 絡彼此時，談網絡管理器寧可不浪費地址從他的全局池。網 絡管理器仍然需要轉換源地址為所有他的內部用戶(10.0.0.0/8) 當 出去對互聯網時。
access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0

此配置不會轉換那 些地址帶有源地址為10.0.0.0/8和目的地地址為192.168.1.0/24。 它將轉換源地址從所有數據流初始化從10.0.0.0/8 網絡內 和注定為任何地方除192.168.1.0/24之外到一個地址從范圍 199.199.199.3 - 199.199.199.62。

如果有write terminal命令的輸出 從您的Cisco設備，您能使用 <-- javascript -->Output Interpreter 顯示潛在問題和修正。使用 <-- javascript -->Output Interpreter ，您必須是一個 注冊的用戶，登錄，并且安排 Javascript 被啟用。