Cisco ASA 5510 статический один к одному NAT

Я пытаюсь использовать статический NAT на Cisco ASA 5510, но только один IP входит в сеть. Кто-нибудь может указать на мою ошибку? Я много читал на Google / Cisco, но не смог понять это. Вот мои конфигурации;

ciscoasa# show running-config
: Saved
:
ASA Version 8.4(5)
!
hostname ciscoasa
names
!
interface Ethernet0/0
 shutdown
 nameif ISP1
 security-level 0
 ip address 50.100.150.200 255.255.255.248
!
interface Ethernet0/1
 nameif ISP2
 security-level 0
 ip address 40.80.120.160 255.255.255.240
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 192.168.10.10 255.255.252.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 0
 ip address 10.10.10.10 255.255.255.0
 management-only
!
ftp mode passive
clock timezone GMT 0
dns domain-lookup ISP1
dns domain-lookup ISP2
object network ISP1
 subnet 192.168.8.0 255.255.252.0
object network ISP2
 subnet 192.168.8.0 255.255.252.0
object network Server_10.51
 host 192.168.10.51
object network Public_120.161
 host 40.80.120.161
object network Server_10.23
 host 192.168.10.23
object network Public_120.162
 host 40.80.120.162
access-list outside_access_in extended permit tcp any object Server_10.51
access-list outside_access_in extended permit icmp any object Server_10.51 echo
access-list outside_access_in extended permit tcp any object Server_10.23
access-list outside_access_in extended permit icmp any object Server_10.23 echo
no pager
logging enable
logging asdm informational
mtu ISP1 1500
mtu ISP2 1500
mtu inside 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit 192.168.8.0 255.255.252.0 inside
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network ISP1
 nat (inside,ISP1) dynamic interface
object network ISP2
 nat (inside,ISP2) dynamic interface
object network Server_10.51
 nat (inside,ISP2) static Public_75.35 dns
object network Server_10.23
 nat (inside,ISP2) static Public_75.36 dns
access-group outside_access_in in interface ISP2
route ISP1 0.0.0.0 0.0.0.0 50.100.150.201 1 track 1
route ISP2 0.0.0.0 0.0.0.0 40.80.120.161 254
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 10.10.10.0 255.255.255.0 management
http 192.168.8.0 255.255.252.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
sla monitor 55
 type echo protocol ipIcmpEcho 8.8.8.8 interface ISP1
 num-packets 3
 frequency 10
sla monitor schedule 55 life forever start-time now
!
track 1 rtr 55 reachability
telnet 192.168.8.0 255.255.252.0 inside
telnet timeout 5
ssh 192.168.8.0 255.255.252.0 inside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
vpn-addr-assign local reuse-delay 30
dhcpd address 10.10.10.11-10.10.10.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:bbd2c8104910bfa4e9b215125b9cb3f9
: end
14
задан Hennes
30.04.2023 11:00 Количество просмотров материала 2644
Распечатать страницу

1 ответ

код Динамический NATs (см. ниже) имеют приоритет над вашим Статический NATs

динамический NATs

object network ISP1
 nat (inside,ISP1) dynamic interface
object network ISP2
 nat (inside,ISP2) dynamic interface

STATIC NATs

object network Server_10.51
 nat (inside,ISP2) static Public_75.35 dns
object network Server_10.23
 nat (inside,ISP2) static Public_75.36 dns

NATs обрабатываются в порядке или Section 1 >> Section 2 >> Section 3. Рекомендуется a раздел 3 после-auto NAT используется для политики NAT общего назначения. Более определенные NATs должны быть настроены как Раздел 1 руководство NAT .

ДРУГИЕ ПРИМЕЧАНИЯ

  • ip address 50.100.150.200 255.255.255.248 и ip address 40.80.120.160 255.255.255.240 плохие маски. ASAs не позволяют использовать идентификатор подсети назначается в качестве адреса интерфейса. Другие Cisco IOSs позволяют ID подсети и широковещательным адресам быть назначенными через использование IP-подсети-ноль command

  • interface Ethernet0/0 это остановка. Трафик не сможет достигнуть хостов в сети 50.100.150.200/29.

  • interface Ethernet0/2 это /22 сеть. Я бы проверил, чтобы убедиться, что каждый из ваших внутренних тестовых хостов имеет маску "255.255.252.0" с действительным шлюзом, который соответствует адресу интерфейса Ethernet0/2.

  • статические NATs разрешают перевод только службы dns. Я бы убрал dns от статической конфигурации NAT для целей устранения проблем.

РЕКОМЕНДУЕМЫЕ КОМАНДЫ УСТРАНЕНИЯ НЕПОЛАДОК

используйте команду debug с осторожностью.

show xlate detail
show nat detail
debug nat 255 

ДОПОЛНИТЕЛЬНЫЕ ВСПОМОГАТЕЛЬНЫЕ ДОКУМЕНТЫ

Устранение неполадок конфигурации преобразования сетевых адресов ASA

КОНФИГУРАЦИЯ NAT НА ASA 8.4+

0
отвечен TDurden 2023-05-01 18:48

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх