Cisco ASA 9.1:匹配正向和反向流 (rpf) 的非对称 NAT 规则

网络工程 思科-ASA 纳特
2022-02-02 12:47:53

有人可以解释为什么下面的第一个 NAT 配置给我一个“非对称 NAT 规则”(RPF)错误,用于连接到“VPN1”,而第二个(手动 NAT 中没有“任何”)使自动 NAT 实际工作?

自动 NAT(第 2 节)不起作用(“非对称 NAT”):

nat (Transit,Internet) source dynamic FW1 interface
!
object network FW1
 host 172.1.2.3
object network VPN1
 nat (Main,Internet) static interface service udp 1194 1195 
!
...

这似乎工作正常:(在第 1 节中为手动 NAT 设置了明确的目标)

nat (Transit,Internet) source dynamic FW1 interface destination static DM_INLINE_NETWORK_51 DM_INLINE_NETWORK_51
!
object network FW1
 host 172.1.2.3
object network VPN1
 nat (Main,Internet) static interface service udp 1194 1195 
!
...

为什么这会对 VPN1 的 NAT 产生影响?我不明白。涉及不同的(源)接口,显然不同的源地址,那么为什么一个会阻止另一个工作呢?

1个回答

您的两个手动 NAT 语句之间的区别在于,其中一个语句还在目标(或返回或外部发起的流量)上查找匹配项。

如果您将 NAT 语句转换为“外行”解释,那将更有意义。

例如:

nat (Transit,Internet) source dynamic FW1 interface

当 ASA 在Transit接口上找到与 的源匹配的流量时FW1,将其发送到Internet接口并将 dynamically更改为接口的interfaceIP Internet

nat (Transit,Internet) source dynamic FW1 interface destination static DM_INLINE_NETWORK_51 DM_INLINE_NETWORK_51

当 ASA 在Transit接口上找到与 的源FW1 和目标DM_INLINE_NETWORK_51匹配的流量时,将其发送到Internet接口并将 更改为接口dynamicallyinterfaceIP,并将目标更改Internet staticallyDM_INLINE_NETWORK_51

区别很关键:

第二个 NAT 语句仅在与FW1交谈时匹配DM_INLINE_NETWORK_51任何时候匹配的第一个 NAT 语句都是说话。FW1

因此,您的所有入站流量(即:跨接口InternetTransit)将具有与您的第一个 NAT 语句匹配的返回流量。因此,NAT 是不对称的——配置处理传入的流量与传出的流量不同(就 NAT 而言)。

请记住,这是一个动态 NAT(也称为 PAT),根据定义,它只能是单向的。流量将从内部流向外部(或Transit流向Internet),但不会反过来。

其它你可能感兴趣的问题
上一篇IEEE 802.11 无线网络的平均传输速率 下一篇阻止特定路径上的 BGP 路由