我有一个带有 /30 互联网连接的思科防火墙。有一个外部接口和一个内部接口连接到客户端所在的交换机。
所有来自内部网络的客户端都被拍到外部接口以访问互联网。
我现在在内部网络上有一台服务器,我需要从 Internet 访问它。我不能使用外部接口的 ip 地址在端口 443 上创建静态 nat 语句并进入该服务器,这是真的吗?我真的需要一个 /29 和更多的 IP 地址来完成这个吗?如果没有,我将如何处理我的服务器?每次我尝试 nat asdm 时都会告诉我我的 nat 语句会与外部接口重叠。
NAT/PAT 问题
网络工程
纳特
2022-03-05 07:14:57
2个回答
我假设您的 ASA 运行的是 8.3 之前的 IOS 版本...
这类似于在 ASA 中使用 IP 配置全局 nat,我们不能使用单个 IP 来配置多个全局 nat 语句,也不能使用单个 IP 来配置 NAT 语句的多个组合。
同样适用于接口 NAT 也..
因此,您需要多一个 IP 用于与内部服务器的入站连接
您可以尝试这样做以更好地利用 IP:
由于它是 /30 并且您直接在防火墙外部接口中进行配置,因此我假设您没有使用任何动态协议进行子网广告或接收。
因此,您可以要求服务提供商为 LAN 连接配置私有 IP,并仅使用完整的 /30 进行 NAT(由于它现在分配给接口,您不能使用其广播和单播 IP。因此,如果您从接口释放这些公共 IP分配,您可以使用完整的 /30 - 4 个 IP 进行 NAT。在 Juniper 防火墙中,广播和单播 IP 可以通过启用点对点选项来进行 NAT,尽管您将 /30 分配给接口)
你不应该需要额外的IP。
我没有使用过 ASDM,但根据我的经验,设置静态 NAT/PAT 完全没有问题。一些路由器软件可能会因为奇怪或过于简化的设置而感到痛苦。但我假设 ASDM 比这更好。
其它你可能感兴趣的问题