7.0以后開始 nat-control 是默認(rèn)關(guān)閉的，關(guān)閉的時(shí)候是沒有nat轉(zhuǎn)換的，相當(dāng)于路由器一樣，但是ACL的規(guī)則還是存在的

默認(rèn)情況的變化：
在6.3的時(shí)候只要是穿越防火墻都需要?jiǎng)?chuàng)建轉(zhuǎn)換項(xiàng)，比如：nat；static等等，沒有轉(zhuǎn)換項(xiàng)是不能穿越防火墻的，但是到了7.0這個(gè)規(guī)則有了變化，不需要任何轉(zhuǎn)換項(xiàng)也能正常的像路由器一樣穿越防火墻。但是一個(gè)新的命令出現(xiàn)了！當(dāng)你打上nat-control這個(gè)命令的時(shí)候，這個(gè)規(guī)則就改變得和6.3時(shí)代一樣必須要有轉(zhuǎn)換項(xiàng)才能穿越防火墻了。

下面的實(shí)驗(yàn)有助于大家理解nat-control的真正意義

拓?fù)?br />R1----inside-PIX-outside----R3
????? 12.0.0.0? ?? ? 23.0.0.0

在 nat-control 關(guān)閉的情況下
1，只配置IP，不配置其他任何設(shè)置
R1可以telnet到R3，沒有xlate表項(xiàng)，R3 telnet R1的時(shí)候只需要在outside放行就可以了

2，配置了nat (inside) 1 12.1.1.0 255.255.255.0
? ?? ???glob (outside) interface
這個(gè)時(shí)候會(huì)出現(xiàn)xlate表，因?yàn)檫@個(gè)時(shí)候的流量是匹配配置的,所以會(huì)產(chǎn)生xlate
PAT Global 23.1.1.2(1026) Local 12.1.1.1(14930)

3，配置了nat (inside) 1 192.168.1.0 255.255.255.0
? ?? ???glob (outside) interface
這個(gè)時(shí)候R1可以telnet到R3，但是不會(huì)出現(xiàn)xlate，由于nat-control是關(guān)閉的，就算配置錯(cuò)了，也可以通

當(dāng)nat-control 打開的情況下
配置了nat (inside) 1 12.1.1.0 255.255.255.0
? ?? ???glob (outside) interface
這樣R1可以telnet到R3,有xlate

nat (inside) 1 192.168.1.0 255.255.255.0
? ?? ???glob (outside) interface
這樣就不行了，由于nat-control做了控制
我遇到過很多朋友在配置7.0以上的時(shí)候,都不會(huì)打上nat-control命令,不啟用的話ASA的防護(hù)能力會(huì)降低,還是建議大家養(yǎng)成習(xí)慣,配置前第一句話先敲上這句命令

轉(zhuǎn)載于:https://blog.51cto.com/sunrc/255927

總結(jié)

以上是生活随笔為你收集整理的思科防火墙nat-control的作用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。