请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 687|回复: 14

asa 9.8 一条外线进来 上有两个ip(不同网段) 一个ip用于互联上网,另个ip用于映射

[复制链接]
发表于 2019-3-8 14:40:53 | 显示全部楼层 |阅读模式
0可用金钱
asa 9.8  一条外线进来 上有两个ip(不同网段) 一个ip用于互联上网,另个ip用于映射



外线一条  上有 21.15.184.21/30  和 12.13.18.6 /30
端口上配置了  18.6  想用 184.21来做端口  

     184.21来做端口映射  就是不成功   

    把进线分成两条  配置了一条默认路由后,再配置另一条 报 "路由已经存在"

    反馈营运商 ,说数据已经做好。
   向大神请教下。


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-8 16:28:53 | 显示全部楼层
epon的线路吧,一个是互联地址,一个是真实使用的地址。
按说互联地址也是可以用来做PAT的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-10 22:25:33 | 显示全部楼层
用户地址是不用再次写默认路由的,运营商会将路由一并写好,asa这端只需要配置互联地址,然后配置上默认路由即可。
做nat的时候直接nat成给用户地址即可

例如:
互联地址是:100.1.1.2/30
用户地址:200.1.1.0/32
在asa上将默认路由指向100.1.1.1,将需要映射的地址直接nat成200.1.1.0/32
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-3-11 08:49:07 | 显示全部楼层
gengchunlin 发表于 2019-3-10 22:25
用户地址是不用再次写默认路由的,运营商会将路由一并写好,asa这端只需要配置互联地址,然后配置上默认路 ...

谢谢你的回复,我在asa上是这样写的。但是不通 ,咨询营运商,反馈数据已经做好。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-11 23:11:31 | 显示全部楼层
把配置贴一下吧,光看文字描述不容易发现问题。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-11 23:25:54 来自手机 | 显示全部楼层
看下whois
12.13.18.6是ARIN分配AT&T的地址
21.15.184.21是ARIN分配给DoD的

DoD是美国国防部,一般不在互联网上出现
当然某些企业会用来当内网地址,因为DoD手持几个A类地址

咨询运营商21.15.184.21是否可用在互联网
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-3-12 09:21:41 | 显示全部楼层
cisco.feng 发表于 2019-3-11 23:25
看下whois
12.13.18.6是ARIN分配AT&T的地址
21.15.184.21是ARIN分配给DoD的

这两个ip我是举个例子 ,
真是ip是能正常的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-12 10:54:59 | 显示全部楼层
本帖最后由 rainboy999 于 2019-3-12 10:56 编辑

首先你看看你的运营商给的外网地址,其次看看你的配置都全了没有,我截图了一部分,可以参考
ASA5512-23-A-2N# sh run
: Saved
:
: Serial Number: FCH20337FK2
: Hardware:   ASA5512, 4096 MB RAM, CPU Clarkdale 2792 MHz, 1 CPU (2 cores)
:
ASA Version 9.2(2)4   版本

hostname ASA55


interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 218.24.5.34 255.255.255.252  運營商給的外網IP地址
!
interface GigabitEthernet0/1
speed 1000
duplex full
nameif inside
security-level 100
ip address 172.1.1.2 255.255.255.0   內部地址

!
boot system disk0:/asa922-4-smp-k8.bin


object network inside-server    定義內部映射的地址
host 172.1.11.55

object network outside-server   運營商給的地址段中的地址,對內映射用
host 111.198.15.90

access-list inside-acl extended permit ip any any
access-list inside-acl extended permit icmp any any
access-list outside-acl extended permit icmp any any
access-list outside-acl extended permit tcp any host 172.1.11.55 eq 3389   acl開通權限

nat (inside,outside) source static inside-server outside-server    內部地址映射成外網IP

object network internet-segment       內部地址NAT出外網
nat (inside,outside) dynamic interface

access-group outside-acl in interface outside     ACL應用
access-group inside-acl in interface inside

route outside 0.0.0.0 0.0.0.0 218.24.5.33      默認路由

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-12 11:14:37 | 显示全部楼层
fishlonely 发表于 2019-3-12 09:21
这两个ip我是举个例子 ,
真是ip是能正常的

不同网段需要PBR
缺省路由写用户上网的

映射的用PBR
  1. !
  2. access-list web extended permit tcp any any eq [color=Red]www[/color]
  3. !
  4. route-map pbr permit 10
  5. match ip address web
  6. set ip next-hop 200.1.1.1
  7. set interface outside
复制代码


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-3-13 00:19:48 | 显示全部楼层
本帖最后由 xiaocqu 于 2019-3-13 06:35 编辑

看你的需求是不是想做双ISP负载均衡(让两个外网地址都走流量,其中一个外网地址做NAT,另外一个不做NAT)?

如果是的话,可以参考如下配置:

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet0/1
nameif isp1
security-level 0
ip address 21.15.184.21 255.255.255.252
!
interface GigabitEthernet0/2
nameif isp2
security-level 0
ip address 12.13.18.6 255.255.255.252

object network IN-ISP1
subnet 192.168.1.0 255.255.255.0
nat (inside,isp1) dynamic interface

route ISP1 0 0 21.15.184.22     // Default route pointing to ISP1
route ISP2 0 0 12.13.18.5 2      // Default route with Metric 2 via ISP2

参考链接:
Loadbalancing DUAL ISP on ASA
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-5-25 21:46 , Processed in 0.106202 second(s), 55 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表