Na urządzeniach Cisco ASA w wersji 8.3 i nowszych zmieniła się metoda konfiguracji funkcjonalności NAT. Są 3 sekcje, wykonywane w poniższej kolejności:

1. Sekcja 1: Twice NAT
2. Sekcja 2: Object NAT
3. Sekcja 3: Twice NAT

 
Każda sekcja może nie zawierać żadnej lub może zawierać wiele translacji. Nie ma oficjalnej sugestii od Cisco (na dzień 2015.02.11), która wskazywałaby, w której z sekcji należy umieszczać wpisy translacji. Aby dokonać właściwego wyboru, wymieńmy główne różnice pomiędzy Object NAT a Twice NAT.

Pierwszą istotną różnicą jest, aby pamiętać, że wpisy w sekcji 2 są porządkowane automatycznie, natomiast w sekcjach 1 i 3 możemy je dowolnie między sobą przesuwać.

Drugą różnicą są możliwości klasyfikacji ruchu, który obejmie reguła NAT. Najlepiej obrazuje to okno dialogowe konfiguracji Object NAT:

i Twice NAT:

Jak widzimy, Object NAT obejmuje translację na obiekcie typu Network (zazwyczaj). Natomiast Twice NAT daje szersze możliwości wskazania, o który przepływ konkretnie chcemy modyfikować regułą NAT.

Uwaga od strony praktycznej:

Object NAT jest wygodną i szybką metodą wdrożenia reguły NAT, więc oczywiście z niej korzystamy. Natomiast jak zaczniemy przesuwać reguły w górę i w dół zmieniając ich kolejność, to zdarzyło mi się, że reguła Object NAT "wskoczyła" do sekcji 1 lub 2. Czyli ASDM przekształcił ją w regułę Twice NAT. Ale w drugą stronę nie udało mi się jej przywrócić do sekcji 2 (ASA 8.4). W efekcie, jeśli dużo kombinujemy w konfiguracji NAT na ASA, to z czasem zostają same wpisy Twice NAT, wygoda przesuwania jakoś powoduje, że z czasem tak się po prostu dzieje.