7.0以后開始 nat-control 是默認關閉的，關閉的時候是沒有nat轉換的，相當于路由器一樣，但是ACL的規則還是存在的

默認情況的變化：
在6.3的時候只要是穿越防火墻都需要創建轉換項，比如：nat；static等等，沒有轉換項是不能穿越防火墻的，但是到了7.0這個規則有了變化，不需要任何轉換項也能正常的像路由器一樣穿越防火墻。但是一個新的命令出現了！當你打上nat-control這個命令的時候，這個規則就改變得和6.3時代一樣必須要有轉換項才能穿越防火墻了。

下面的實驗有助于大家理解nat-control的真正意義

拓撲
R1----inside-PIX-outside----R3
????? 12.0.0.0? ?? ? 23.0.0.0

在 nat-control 關閉的情況下
1，只配置IP，不配置其他任何設置
R1可以telnet到R3，沒有xlate表項，R3 telnet R1的時候只需要在outside放行就可以了

2，配置了nat (inside) 1 12.1.1.0 255.255.255.0
? ?? ???glob (outside) interface
這個時候會出現xlate表，因為這個時候的流量是匹配配置的,所以會產生xlate
PAT Global 23.1.1.2(1026) Local 12.1.1.1(14930)

3，配置了nat (inside) 1 192.168.1.0 255.255.255.0
? ?? ???glob (outside) interface
這個時候R1可以telnet到R3，但是不會出現xlate，由于nat-control是關閉的，就算配置錯了，也可以通

當nat-control 打開的情況下
配置了nat (inside) 1 12.1.1.0 255.255.255.0
? ?? ???glob (outside) interface
這樣R1可以telnet到R3,有xlate

nat (inside) 1 192.168.1.0 255.255.255.0
? ?? ???glob (outside) interface
這樣就不行了，由于nat-control做了控制
我遇到過很多朋友在配置7.0以上的時候,都不會打上nat-control命令,不啟用的話ASA的防護能力會降低,還是建議大家養成習慣,配置前第一句話先敲上這句命令

轉載于:https://blog.51cto.com/sunrc/255927

總結

以上是生活随笔為你收集整理的思科防火墙nat-control的作用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。