已解决: 关于NAT8.3以后的NAT豁免疑问

wx_WBnExr8i · ‎10-14-2018

本帖最后由 wx_WBnExr8i 于 2018-10-15 11:28 编辑
各位大佬，
小弟新来，如有打扰，请打我。
我最近正在做asa 8.0 到 asa 9.0的迁移，现有一个问题是这样的的。
8.0版本的配置如下：
object-group network vpn-1
network-object 172.16.252.0 255.255.255.0
network-object 172.16.248.12 255.255.255.255
object-group network dst-vpn-1
network-object 10.99.252.0 255.255.255.0
access-list nat0 extended permit ip object-group vpn-1 object-group dst-vpn-1
nat (inside) 0 access-list nat0
那么，在9.0中我也是这么写的
object-group network vpn-1
network-object 172.16.252.0 255.255.255.0
network-object 172.16.248.12 255.255.255.255
object-group network dst-vpn-1
network-object 10.99.252.0 255.255.255.0
nat (inside,outside) source static vpn-1 vpn-1 destination static dst-vpn-1 dst-vpn-1
问题就出现了，我show xlate的时候显示结果如下：

NAT from INSIDE:172.16.252.0/24, 172.16.248.12 to OUTSIDE:172.16.252.0/24,

这样xlate表项在到OUTSIDE接口的时候就没有了172.16.248.12这个地址转换了。

请问，我是该分开去写呢，还是这样是没有问题的，因为是这样的，现在分开写就是2个NAT豁免，但是如果dst-vpn-1再增加一组目标，那么就变成4个NAT豁免了。

YilinChen · ‎10-14-2018

本帖最后由 YilinChen 于 2018-10-15 13:32 编辑
8.3版本后，是通过Twice-Nat去实现的,楼主的问题，其实是看ASA怎么理解 object-group；
写4组没毛病；

在原帖中查看解决方案

YilinChen · ‎10-14-2018

本帖最后由 YilinChen 于 2018-10-15 13:32 编辑
8.3版本后，是通过Twice-Nat去实现的,楼主的问题，其实是看ASA怎么理解 object-group；
写4组没毛病；

wx_WBnExr8i · ‎10-15-2018

哎，楼上，又被坑了，因为nat太多，所以，昨天用in选择查看，有问题，但是当我直接show xlate的时候它能显示全......，我也无语了，另外，经过实测，好像不用分成4个写了，我实测不转，是A就是A，是B就是B，这个ASA不会去转换。