请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 1641|回复: 2

【原创故障案例分享】NAT映射经常会碰到的一个问题

[复制链接]
发表于 2018-3-16 10:36:37 | 显示全部楼层 |阅读模式
本帖最后由 meiyanaa 于 2018-3-19 12:17 编辑

故障描述:
假设ASA 5520 防火墙,使用公网IP 22.22.22.22(outside),发布一台WEB服务器,其私网IP是192.168.1.1(inside)。公司希望inside用户,想使用公网IP 22.22.22.22访问这台inside WEB服务器,但是正常做完后,公司内部用户通过内部用户能访问WEB服务器,公司外部可以通过公网IP访问WEB服务器,但内部用户不能通过公网IP来访问WEB服务器。

故障原因分析:
因为内部inside用户无法通过公网IP访问到这台inside服务器。防火墙默认不允许inside进来的流量,未从其它接口出去就直接从inside返回,会被ASA直接丢弃。


故障解决办法:
Hairpinning NAT
same-security-traffic permit intra-interface     #启用Hairpinning功能,允许流量直接原路径返回。                       
static (inside,outside) 22.22.22.22 192.168.1.1 netmask 255.255.255.255
static (inside,inside) 22.22.22.22 192.168.1.1  netmask 255.255.255.255     #流量返回路径定义NAT映射
access-list web_in extended permit tcp any host 8.8.8.8 eq 80               #对外发布服务
access-group web_in in interface outside                                    #应用到外部接口

其实很多地方都会出现这种情况,不仅是思科设备,其它厂商也一样,知道原理就清楚了。







  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-3-20 11:45:37 | 显示全部楼层
非常感谢您的分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-3-20 19:49:18 | 显示全部楼层
8.4 版本以后的写法呢?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-21 04:12 , Processed in 0.088540 second(s), 34 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表