关于Cisco ASDM中配置STATIC NAT顺序的问题-By 年糕泰迪

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于Cisco ASDM中配置STATIC NAT顺序的问题-By 年糕泰迪相关的知识,希望对你有一定的参考价值。

在使用ASDM配置外网到内网的STATIC NAT时需要注意其配置的顺序,否则配置的该NAT策略不会生效,具体参看下图,测试结论在文末说明。

技术图片
上图中的NAT配置只有三条,先配置了内网到外网的NAT(1),再配置了DMZ到外网的NAT(2),最后配置了外网到DMZ的NAT(3)。
以上NAT配置后,测试内网到外网,DMZ到外网的的连通性均正常,只有DMZ映射出去的www服务在外网无法测试访问(排除outside ACL和路由问题,已放行)。
在外网测试结果如下,无法联通。
技术图片
接下来将外网到DMZ的映射条目调整到最上方,应用后再测试,可以正常访问。
技术图片
技术图片
为了进一步验证其顺序,继续将该NAT条目下移并应用,测试正常。
技术图片
技术图片
再次移动到初始位置,测试不通过。
技术图片
技术图片

测试验证结论:
当先配置DMZ到outside的dynamic NAT后,再配置DMZ 的Static NAT时,其顺序必须再对于dynamic NAT之前,与其他端口以及方向的NAT条目没有关系。

问题之外:
上述关于DMZ内,外网NAT的配置时单独配置的2条策略,通常DMZ都是会用来对外提供服务的,所以对外NAT映射时必不可少的,这里用ASDM直接对DMZ的内网映射一次性配置,就可避免上述顺序问题。
技术图片
采用STATIC NAT的方式配置外网到DMZ的NAT映射,完成后生产的策略条目如下:
技术图片
条目2即为配置完成后的策略,请注意这里的条目2包含2条NAT策略,可以看出在配置外网到DMZ的NAT的同时其下方就会生成一条DMZ到外网对于的NAT策略,这个顺序和前面问题验证时的顺序一致,这2条策略其实是一条,删除任何一条是另一条也会自动删除。
条目2对应的命令为:
object service WWW service tcp source range 1 65535 destination eq www
object network DMZ_172.16.10.200 host 172.16.10.200
object network Public_100.100.100.252 host 100.100.100.252
nat (outside,DMZ) source static any any destination static Public_100.100.100.252 DMZ_172.16.10.200 service WWW WWW

以上是关于关于Cisco ASDM中配置STATIC NAT顺序的问题-By 年糕泰迪的主要内容,如果未能解决你的问题,请参考以下文章

Cisco ASA 端口映射设置

Cisco asa V8.2.1 配置内网映射NAT

Cisco ASA(8.4)端口映射设定(ASDM)

Cisco ASA(8.4)端口映射设定(ASDM)

关于cisco 4507引擎,急急急!!

Cisco ASA 应用NAT配置详解