一.需求
1.内网服务器主动发起的访问都进行PAT,对外统一为一个地址
2.外部访问内网服务器的某些指定端口(比如TCP22,23),用的目标地址为内网服务器的真实地址
二.解决方案
1.配置动态PAT,让出去的流量进行地址转换,同时配置静态PAT,让进来的流量仍然用服务器真实地址
2.或者,配置动态PAT,让出去的流量进行地址转换,同时配置策略NAT(Twice-NAT),让源端口为指定端口的出去的流量转换后的地址为自身地址
3.通过测试,上面两种方式PAT出去的地址都可以为内网在用服务器的地址,只不过如果这样,需要增加静态PAT的配置,否则内网对应IP地址无法从外面访问,只能通过直连地址访问
二.测试拓扑
三.基本配置:
1.Outside服务器
IP地址:202.100.1.88/24
默认网关:202.100.1.1
2.Inside服务器
IP地址:10.68.200.88/24
默认网关:10.68.200.1
3.ASA842
①接口配置:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 10.68.200.1 255.255.255.0
no shut
!
interface GigabitEthernet1
nameif outside
security-level 0
ip address 202.100.1.1 255.255.255.0
no shut
!
②策略配置:
access-list outside extended permit ip any host 10.68.200.88
access-group outside in interface outside
三.NAT配置
①PAT配置:
---指定内网整个网段出去的流量进行PAT,也可以用range指定某个范围的IP
object network Inside-net
subnet 10.68.200.0 255.255.255.0
object network Inside-net
nat (inside,outside) dynamic interface
②静态PAT配置:
---对指定的端口进行静态PAT转换,如果同一IP有多个端口需要映射,需要配置多个不同名称的对象
object network inside_server1
host 10.68.200.88
nat (inside,outside) static inside_server1 service tcp 22 22
object network inside_server2
host 10.68.200.88
nat (inside,outside) static inside_server2 service tcp 23 23
或者:
②Twice NAT配置:
--指定源端口为内网指定的端口,NAT地址为自己的地址,即不做NAT处理
--如果对象中用range包含IP段,后续增加的服务器IP在IP段之内,就不用重新修改防火墙策略
object network inside_server
host 10.68.200.88
object service SSH
service tcp source eq ssh
object service TELNET
service tcp source eq telnet
nat (inside,outside) source static inside_server inside_server service SSH SSH
nat (inside,outside) source static inside_server inside_server service TELNET TELNET
四.验证
①出去的流量做了PAT:
---上面为用Inside服务器ssh ouside服务器时的截图
②进来的流量目标地址为内网真实地址:
原文地址:http://blog.51cto.com/333234/2082939