Cisco ASA 8.4 预转换地址上的两次 NAT 目标路由

网络工程 思科 路由 思科 纳特
2021-08-04 13:09:47

我有一个两次 NAT 路由问题。如何根据预翻译的目的地转发 IP 数据包?现在我在两个站点之间有冲突的子网,这就是我进行两次 NAT 的原因。但是,我相信 Cisco ASA 是基于转换后的地址进行路由的,因此不会以正确的方向转发数据包。

这是我的代码

interface GigabitEthernet0
 nameif inside
 security-level 100
 ip address 10.10.201.1 255.255.255.0
interface GigabitEthernet3
 nameif outside
 security-level 0
 ip address 10.255.255.1 255.255.255.252

object network SideA-PC_real
 host 10.10.17.55
object network SideA-PC_map
 host 10.252.28.55
object network SideB-PC_real
 host 10.10.17.155
object network SideB-PC_map
 host 10.251.4.155

route outside 10.10.1.0 255.255.255.0 10.255.255.2 1
route inside 10.10.17.0 255.255.255.0 10.10.201.2 1
route outside 10.251.4.0 255.255.255.0 10.255.255.2 1

nat (inside,outside) source static SideA-PC_real SideA-PC_nat destination static SideB-PC_nat SideB-PC_real

调试日志显示翻译完全按照我的意愿进行,但是来自 SideB 的 tcpdump 显示它永远不会在那里前进。

Ping 仅在我添加时才有效

route outside 10.10.17.155 255.255.255.255 10.255.255.2 1

到 ASA。我相信这是因为它比 10.10.17.0 内部路由更具体。

1个回答

没有为每个主机放置 /32 路由,通过发出

route outside 0.0.0.0 0.0.0.0 10.255.255.2

我试图发出一个 

route outside 10.10.17.0 255.255.255.0 10.255.255.2

然而,cisco 抱怨该路由已经存在,即使它是针对外部接口的。

我真的不喜欢这样做,但是我似乎找不到让 Cisco ASA 基于 pre-nat 目的地转发数据包的方法。

其它你可能感兴趣的问题
上一篇环回接口的结果是更少的 SPF 重新计算? 下一篇路由器上的 VLAN 接口(不是子接口)