本帖最后由 wx_WBnExr8i 于 2018-10-15 11:28 编辑 各位大佬,
小弟新来,如有打扰,请打我。
我最近正在做asa 8.0 到 asa 9.0的迁移,现有一个问题是这样的的。
8.0版本的配置如下:
object-group network vpn-1
network-object 172.16.252.0 255.255.255.0
network-object 172.16.248.12 255.255.255.255
object-group network dst-vpn-1
network-object 10.99.252.0 255.255.255.0
access-list nat0 extended permit ip object-group vpn-1 object-group dst-vpn-1
nat (inside) 0 access-list nat0
那么,在9.0中我也是这么写的
object-group network vpn-1
network-object 172.16.252.0 255.255.255.0
network-object 172.16.248.12 255.255.255.255
object-group network dst-vpn-1
network-object 10.99.252.0 255.255.255.0
nat (inside,outside) source static vpn-1 vpn-1 destination static dst-vpn-1 dst-vpn-1
问题就出现了,我show xlate的时候显示结果如下:
NAT from INSIDE:172.16.252.0/24, 172.16.248.12 to OUTSIDE:172.16.252.0/24,
这样xlate表项在到OUTSIDE接口的时候就没有了172.16.248.12这个地址转换了。
请问,我是该分开去写呢, 还是这样是没有问题的,因为是这样的,现在分开写就是2个NAT豁免,但是如果dst-vpn-1再增加一组目标,那么就变成4个NAT豁免了。