Cisco ASA 5510 IP 发夹式 NAT

网络工程 思科 思科 ip
2021-07-16 16:08:22

在过去的几天里,我一直在兜兜转转,试图做到这一点:

我对 cisco 路由器没有太多经验,这是一个运行 8.2(旧命令结构)的 ASA 5510。

简而言之,我想将我们的外部 ip 之一的 LAN 请求转换为内部网络服务器(我认为这也称为发夹)。

我们有一个由 8 个外部 IP 组成的块

iii97, 98, 99, 100, 101, 102, 210, 211

我们的界面运行配置是:

接口 Ethernet0/0
外面的名字
 安全级别 0
 IP 地址 213.106.251.100 255.255.255.248 
接口 Ethernet0/1
 内部名称
 安全级别 100
 IP 地址 10.22.16.25 255.255.240.0 
接口 Ethernet0/2
 没有名字
 安全等级 50
 没有IP地址
接口 Ethernet0/2.23
 VLAN 23
 nameif GuestWireless
 安全级别 10
 IP 地址 172.22.225.1 255.255.255.0 
接口 Ethernet0/3
 关掉
 没有名字
 没有安全级别
 没有IP地址

在内部,我在 10.22.16.34 上有一个服务器,我想将端口 21、80、8000、8082 公开给 Internet 客户端。但是,在请求将外部 IP iii98 重定向到 10.22.16.34 时,我需要内部 LAN 客户端

我尝试了很多指南,但每次都遇到问题,我将非常感谢您的指导。

谢谢

3个回答

有没有拆分 DNS 的选项(将 DNS 名称指向本地 DNS 服务器上的内部 IP)?非常简单的解决方案。

它可能如下所示:

LAN 用户访问 Internet 的默认动态 PAT:

global (outside) 1 interface
nat (inside) 1 10.22.16.0 255.255.240.0
nat (inside) 1 172.22.225.0 255.255.255.0

比服务器的静态 NAT:

static (inside,outside) [PUBLICIP] [INTERNALIP] netmask 255.255.255.255

您需要启用相同的安全接口流量:

same-security-traffic permit intra-interface

比另一个从内到外的 nat:

static (inside,inside) [PUBLICIP] 10.22.16.0 netmask 255.255.240.0
static (inside,inside) [PUBLICIP] 172.22.225.0 netmask 255.255.255.0

只需添加:

global (inside) 1 interface

这应该是全部。8.2 上没有设备来测试它。

你可能想看看这个这个帖子。

恕我直言,我认为你的做法是错误的。Web 服务器以 Web 地址为目标,即 DNS 记录。因此,您的服务器可能是 mysever.mydomain.com。您所要做的就是适当地设置您的 DNS,并将内部用户解析为内部地址。所以,这是一个DNS配置问题。

其它你可能感兴趣的问题
上一篇父接口和子接口 下一篇将两个 ISP 连接到我的网络