我需要对从本地 LAN 流出 ASA 防火墙的流量的源地址进行 NAT。
从上图中,我在 ASA 防火墙上的外部接口 IP 设置为 192.168.12.2
q1) 在将流量从本地 LAN 路由到路由器 0 (10.10.10.2) 时,我能否在此外部接口上设置 NAT 以使用另一个 IP 范围(例如 10.10.10.1)作为其源?
q2) 如果上述可以实现,路由器 0 如何知道如何发送到 ASA 防火墙?这是否意味着 ASA 防火墙将回复 10.10.10.1 的 ARP 请求,即使其物理接口设置为 192.168.12.2 ?这是否也意味着我必须在 ASA 防火墙外部接口上打开 PROXY-ARP 才能使设置正常工作?
问候, 菜鸟
您正在更改 IP 数据包的源地址。Router0 不会对您要转换到的范围内的地址进行 ARP,因为它知道它与该网络没有直接连接。ARP 仅适用于直接连接的网络。
你需要做的是让 Router0 和 Router1 知道去192.168.12.2你的转换范围内的任何目标地址。
这就是路由 101。路由器通过三种不同的方式将路由加入其路由表:直接连接的网络、静态配置的路由和/或路由协议。
由于您提议的网络未直接连接到 Router0 或 Router1,因此您需要在这些路由器中为其静态配置路由,或者您需要使用这些路由器和 ASA 运行路由协议,并让 ASA 告诉那些通过192.168.12.2.
您还需要以某种方式让 ASA 知道每个其他路由器背后的网络。
编辑:
根据下面的评论,其他人认为您将在不同的网络中使用 Router0 地址,而不是它连接到的 Router1 和 ASA 地址。除非交换机是第 3 层交换机并且它在 Router0 连接的接口与 Router1 和 ASA 连接的 VLAN 之间路由,否则您不能这样做。