取消
显示结果 
搜索替代 
您的意思是: 
cancel
7618
查看次数
68
有帮助
9
评论
Mansur
Spotlight
Spotlight
先说故障现象:
可能存在的现象1,
环境:A和B使用ASA建立ipsec vpn。
问题:A站点内部的主机能通过VPN访问B站点内部的主机,但是无法访问B点ASA的inside接口IP
可能存在的现象2,
环境:C和D使用ASA建立ipsec vpn。且在D内部有多个security-level 100的区域inside1、inside2、inside3。
问题:C只能访问到其中其中一个inside1区域的主机;inside2、inside3区域不通。
原因:nat赦免没有加route-lookup
nat (inside,outside) source static INISIDE-NET INISIDE-NET destination static REMOTE-NET REMOTE-NET route-lookup

分析:
查了google发现,当数据包发送到目的地时,ASA会查找所需的出口接口,或者在我们的NAT规则中指定的“outside”接口,而不是查询路由表。
指定route-lookup命令会告诉ASA查看条目的路由表,然后相应地转发数据包。
在比较早的ASA版本是默认查询路由表的。新版需要手动指定。
有关现象2 是我之前在社区求助过。
详细可以看这个帖:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=969113
欢迎交流
评论
13nash
Level 8
Level 8
哦哦,这个以前都说不行,终于看到解决方法了
Mansur
Spotlight
Spotlight
13nash 发表于 2018-4-19 08:59
哦哦,这个以前都说不行,终于看到解决方法了

是啊,真是没想到这个。。
xuxianda7
Spotlight
Spotlight
谢谢分享好案例!
天下铭人
Community Member
楼主,问个问题,你现在这个nat 的写法,一共有4个 策略组,分别是 INISIDE-NET INISIDE-NET REMOTE-NET REMOTE-NET,这样写法的nat表示是什么意思呢。组1对应转换哪个地址,这个和twice nat 有关系吗
Mansur
Spotlight
Spotlight
天下铭人 发表于 2018-5-4 15:15
楼主,问个问题,你现在这个nat 的写法,一共有4个 策略组,分别是 INISIDE-NET INISIDE-NET REMOTE-NET RE ...

这个是8.4版本之后新的nat赦免。8.4之前的nat 0的配置。
从inside到outside方向,源是INSIDE-NET, 目的是REMOTE-NET的数据包不做地址转换。
这四个不是策略组,是network对象。
object network INISIDE-NET
subnet 10.0.0.0 255.255.255.0
object network REMOTE-NET
subnet 192.168.0.0 255.255.255.0
天下铭人
Community Member
maguanghua2013 发表于 2018-5-4 15:49
这个是8.4版本之后新的nat赦免。8.4之前的nat 0的配置。
从inside到outside方向,源是INSIDE-NET, 目的 ...

感谢回复。还有最近遇到的问题,求指教。
:nat (inside,outside) source static Network-A Network-B destination static Network-C Network-C。我是不是可以理解为:当数据包访问目的地址是C的情况下,执行这个NAT 并且将A地址转换为B。
是不是 类似 nat (inside,outside) source static Network-A Network-A destination static Network-C Network-C 前后两组地址 分别相同 就是赦免,前面一组不同,后面一组相同就代表执行NAT。
还是说只要是带有destination 关键字的 指的本就是nat赦免
Mansur
Spotlight
Spotlight
天下铭人 发表于 2018-5-7 15:43
感谢回复。还有最近遇到的问题,求指教。
:nat (inside,outside) source static Network-A Network-B d ...

前一种理解是对的。
“Network-A Network-A ”代表就是映射前后地址不变;
source和destination就是数据包的源和目的地址的意思。敲命令的时候可以打问号看解释。
我验证了下,
nat (inside,outside) source static Network-A Network-B destination static Network-C Network-C
这么写没问题,数据包就是按照你理解的映射的。
另外社区有个公开课讲的是新版ASA的对nat的处理,你可以搜下看看
天下铭人
Community Member
maguanghua2013 发表于 2018-5-7 17:02
前一种理解是对的。
“Network-A Network-A ”代表就是映射前后地址不变;
source和destination就是数 ...

非常感谢。。
yangkai_716
Spotlight
Spotlight
实用的tips,感谢楼主分享:)
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接