本帖最后由 meiyanaa 于 2018-3-19 12:17 编辑
故障描述:
假设ASA 5520 防火墙,使用公网IP 22.22.22.22(outside),发布一台WEB服务器,其私网IP是192.168.1.1(inside)。公司希望inside用户,想使用公网IP 22.22.22.22访问这台inside WEB服务器,但是正常做完后,公司内部用户通过内部用户能访问WEB服务器,公司外部可以通过公网IP访问WEB服务器,但内部用户不能通过公网IP来访问WEB服务器。
故障原因分析:
因为内部inside用户无法通过公网IP访问到这台inside服务器。防火墙默认不允许inside进来的流量,未从其它接口出去就直接从inside返回,会被ASA直接丢弃。
故障解决办法:
Hairpinning NAT
same-security-traffic permit intra-interface #启用Hairpinning功能,允许流量直接原路径返回。
static (inside,outside) 22.22.22.22 192.168.1.1 netmask 255.255.255.255
static (inside,inside) 22.22.22.22 192.168.1.1 netmask 255.255.255.255 #流量返回路径定义NAT映射
access-list web_in extended permit tcp any host 8.8.8.8 eq 80 #对外发布服务
access-group web_in in interface outside #应用到外部接口
其实很多地方都会出现这种情况,不仅是思科设备,其它厂商也一样,知道原理就清楚了。