取消
显示结果 
搜索替代 
您的意思是: 
cancel
6083
查看次数
0
有帮助
14
回复

asa 9.8 一条外线进来 上有两个ip(不同网段) 一个ip用于互联上网,另个ip用于映射

fishlonely
Level 1
Level 1
asa 9.8 一条外线进来 上有两个ip(不同网段) 一个ip用于互联上网,另个ip用于映射
外线一条 上有 21.15.184.21/30 和 12.13.18.6 /30
端口上配置了 18.6 想用 184.21来做端口
184.21来做端口映射 就是不成功
把进线分成两条 配置了一条默认路由后,再配置另一条 报 "路由已经存在"
反馈营运商 ,说数据已经做好。
向大神请教下。
14 条回复14

yanglei
Level 1
Level 1
epon的线路吧,一个是互联地址,一个是真实使用的地址。
按说互联地址也是可以用来做PAT的

ilay
VIP
VIP
用户地址是不用再次写默认路由的,运营商会将路由一并写好,asa这端只需要配置互联地址,然后配置上默认路由即可。
做nat的时候直接nat成给用户地址即可
例如:
互联地址是:100.1.1.2/30
用户地址:200.1.1.0/32
在asa上将默认路由指向100.1.1.1,将需要映射的地址直接nat成200.1.1.0/32

fishlonely
Level 1
Level 1
gengchunlin 发表于 2019-3-10 22:25
用户地址是不用再次写默认路由的,运营商会将路由一并写好,asa这端只需要配置互联地址,然后配置上默认路 ...

谢谢你的回复,我在asa上是这样写的。但是不通 ,咨询营运商,反馈数据已经做好。

Rockyw
Spotlight
Spotlight
把配置贴一下吧,光看文字描述不容易发现问题。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

cisco.feng
Spotlight
Spotlight
看下whois
12.13.18.6是ARIN分配AT&T的地址
21.15.184.21是ARIN分配给DoD的
DoD是美国国防部,一般不在互联网上出现
当然某些企业会用来当内网地址,因为DoD手持几个A类地址lol:lol
咨询运营商21.15.184.21是否可用在互联网

fishlonely
Level 1
Level 1
cisco.feng 发表于 2019-3-11 23:25
看下whois
12.13.18.6是ARIN分配AT&T的地址
21.15.184.21是ARIN分配给DoD的

这两个ip我是举个例子 ,
真是ip是能正常的

rainboy999
Level 1
Level 1
本帖最后由 rainboy999 于 2019-3-12 10:56 编辑
首先你看看你的运营商给的外网地址,其次看看你的配置都全了没有,我截图了一部分,可以参考
ASA5512-23-A-2N# sh run
: Saved
:
: Serial Number: FCH20337FK2
: Hardware: ASA5512, 4096 MB RAM, CPU Clarkdale 2792 MHz, 1 CPU (2 cores)
:
ASA Version 9.2(2)4 版本
hostname ASA55
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 218.24.5.34 255.255.255.252 運營商給的外網IP地址
!
interface GigabitEthernet0/1
speed 1000
duplex full
nameif inside
security-level 100
ip address 172.1.1.2 255.255.255.0 內部地址
!
boot system disk0:/asa922-4-smp-k8.bin
object network inside-server 定義內部映射的地址
host 172.1.11.55
object network outside-server 運營商給的地址段中的地址,對內映射用
host 111.198.15.90
access-list inside-acl extended permit ip any any
access-list inside-acl extended permit icmp any any
access-list outside-acl extended permit icmp any any
access-list outside-acl extended permit tcp any host 172.1.11.55 eq 3389 acl開通權限
nat (inside,outside) source static inside-server outside-server 內部地址映射成外網IP
object network internet-segment 內部地址NAT出外網
nat (inside,outside) dynamic interface
access-group outside-acl in interface outside ACL應用
access-group inside-acl in interface inside
route outside 0.0.0.0 0.0.0.0 218.24.5.33 默認路由

cisco.feng
Spotlight
Spotlight
fishlonely 发表于 2019-3-12 09:21
这两个ip我是举个例子 ,
真是ip是能正常的

不同网段需要PBR
缺省路由写用户上网的
映射的用PBR
!
access-list web extended permit tcp any any eq www
!
route-map pbr permit 10
match ip address web
set ip next-hop 200.1.1.1
set interface outside

xiaocqu
Spotlight
Spotlight
本帖最后由 xiaocqu 于 2019-3-13 06:35 编辑
看你的需求是不是想做双ISP负载均衡(让两个外网地址都走流量,其中一个外网地址做NAT,另外一个不做NAT)?
如果是的话,可以参考如下配置:
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
interface GigabitEthernet0/1
nameif isp1
security-level 0
ip address 21.15.184.21 255.255.255.252
!
interface GigabitEthernet0/2
nameif isp2
security-level 0
ip address 12.13.18.6 255.255.255.252
object network IN-ISP1
subnet 192.168.1.0 255.255.255.0
nat (inside,isp1) dynamic interface
route ISP1 0 0 21.15.184.22 // Default route pointing to ISP1
route ISP2 0 0 12.13.18.5 2 // Default route with Metric 2 via ISP2
参考链接:
Loadbalancing DUAL ISP on ASA

fishlonely
Level 1
Level 1
rainboy999 发表于 2019-3-12 10:54
首先你看看你的运营商给的外网地址,其次看看你的配置都全了没有,我截图了一部分,可以参考
ASA5512-23-A ...

谢谢您的热心回复
我起初配置和你一样,就是出现外网不能访问内网服务器

fishlonely
Level 1
Level 1
xiaocqu 发表于 2019-3-13 00:19
看你的需求是不是想做双ISP负载均衡(让两个外网地址都走流量,其中一个外网地址做NAT,另外一个不做NAT) ...

谢谢您的热心回复。
我这个需求是两个外网ip同时做nat ,其中一个外网只给一台服务器使用。而且进线只接一个asa端口

fishlonely
Level 1
Level 1
cisco.feng 发表于 2019-3-12 11:14
不同网段需要PBR
缺省路由写用户上网的

谢谢你的热心回复。
起初的要求无法实现,后来只能asa接两个外线 做的pbr来解决

ilay
VIP
VIP
fishlonely 发表于 2019-3-11 08:49
谢谢你的回复,我在asa上是这样写的。但是不通 ,咨询营运商,反馈数据已经做好。

你用两组地址分别配置在接口上面,和isp的网关通信都可以?
还是按照之前的地址举例(100.1.1.0/30 、200.1.1.0/32)
你在接口上分别配置上100.1.1.2 200.1.1.2 然后都能ping通100.1.1.1和200.1.1.1?
如果是这样,应该是将ip地址都写在了接口上面,而不是做的路由。
你发的配置应该没啥问题,前段时间办公区配置的asa5525也是这么弄的。
如果都在接口地址上,你可以尝试报障给运营商,看看能不能给改下。
BJ-ShB-ASA# sh run int
!
interface GigabitEthernet0/4
nameif outside
security-level 0
ip address 61.1x.1x.228 255.255.255.248
!
interface GigabitEthernet0/5
nameif inside
security-level 100
ip address 172.16.1.2 255.255.255.0

SH-ShB-ASA# sh run obj
object network cloud
host 172.16.1.5
object network PAT
subnet 172.16.1.0 255.255.255.0
object network sslvpn-address
subnet 172.16.100.0 255.255.255.0

SH-ShB-ASA# sh run nat
!
object network cloud
nat (inside,outside) static 61.2x.2x.80
object network PAT
nat (inside,outside) dynamic 61.2x.2x.81
object network sslvpn-address
nat (outside,outside) dynamic interface
SH-ShB-ASA# sh run route
route outside 0.0.0.0 0.0.0.0 61.1x.1x.225 1

fishlonely
Level 1
Level 1
gengchunlin 发表于 2019-3-13 22:47
你用两组地址分别配置在接口上面,和isp的网关通信都可以?
还是按照之前的地址举例(100.1.1.0/30 、20 ...

按照你现在给出的例子 ,我刚开始时候的配置就是这样,当时是不通的。反馈给营运商,营运商也说不知道怎么弄额。
业务等不及了,后来我是将外线分成两条分别接2个口来实现的。
谢谢您的回复了。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接