本帖最后由 meiyanaa 于 2018-3-19 12:17 编辑
故障描述：
假设ASA 5520 防火墙，使用公网IP 22.22.22.22（outside），发布一台WEB服务器，其私网IP是192.168.1.1(inside)。公司希望inside用户，想使用公网IP 22.22.22.22访问这台inside WEB服务器，但是正常做完后，公司内部用户通过内部用户能访问WEB服务器，公司外部可以通过公网IP访问WEB服务器，但内部用户不能通过公网IP来访问WEB服务器。
故障原因分析：
因为内部inside用户无法通过公网IP访问到这台inside服务器。防火墙默认不允许inside进来的流量，未从其它接口出去就直接从inside返回，会被ASA直接丢弃。
故障解决办法：
Hairpinning NAT
same-security-traffic permit intra-interface #启用Hairpinning功能，允许流量直接原路径返回。
static (inside,outside) 22.22.22.22 192.168.1.1 netmask 255.255.255.255
static (inside,inside) 22.22.22.22 192.168.1.1 netmask 255.255.255.255 #流量返回路径定义NAT映射
access-list web_in extended permit tcp any host 8.8.8.8 eq 80 #对外发布服务
access-group web_in in interface outside #应用到外部接口
其实很多地方都会出现这种情况，不仅是思科设备，其它厂商也一样，知道原理就清楚了。