ASA 5525-X PAT 仅用于一个 IP 子网

网络工程 思科 路由 纳特 防火墙
2021-07-11 15:47:43

ASA 5525-X 是否可以动态 PAT 私有地址的一个 IP 子网(从内部端口到外部端口)并同时在没有 PAT 的情况下通过另一个子网?

我在外部接口上有一个公共 IP 地址,在防火墙后面有另一个公共 IP 子网。

  • 外部接口 - 198.98.9.1/24
  • ISP 网关 198.98.9.2
  • 私有 IP - 192.168.1.1/24。内部接口连接到位于 192.168.1.2/24 的另一台路由器。该路由器具有:
    • 专用接口 191.167.1.1/24
    • 公共接口 187.87.7.1/27

我的目标是动态 PAT 仅 IP 子网 191.167.1.0/24 而不是 IP 子网 187.87.7.0/27。

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 198.98.9.1 255.255.255.0

!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 

ASA(config)#object network PUBLIC
ASA(config-obj)#subnet 187.87.7.0 255.255.255.224

ASA(config)#object network PRIVATE
ASA(config-obj)#subnet 191.167.1.0 255.255.255.0

ASA(config)#object network INTERNET
ASA(config-obj)#subnet 0.0.0.0 0.0.0.0

ASA(config)#nat (inside,outside) source dynamic PRIVATE interface

ASA(config)#nat (inside,outside) source static PUBLIC PUBLIC destination static INTERNET INTERNET

路由器和 asa 之间的路由很简单。我在 cisco 路由器上有默认路由转发到内部 asa 地址。并在作为默认路由转发到 ISP 地址。在 asa 的另一个方向上,我有两条静态路由转发到公共和私有 ip 子网。

可以这样工作吗?

1个回答

您正在尝试为您的 187.87.7.0/27 指定一个 NO-NAT,但我不知道为什么。

简单地拥有“nat (inside,outside) source dynamic PRIVATE interface”将动态地将您的 191.167.1.0/24 PAT 到 198.98.9.1

那么从您的内部到外部的流量将不会命中 NAT 语句,因此无需 NAT 即可通过?

这不是你想要的吗?

其它你可能感兴趣的问题
上一篇Cisco ACL 阻止与 ICMP 或 RST 的连接 下一篇单独记录 session-init 和 session-close 与通过 apply-groups 相比的性能差异