ASA配置nat问题

bobjson09271 · ‎10-09-2019

本帖最后由 bobjson09271 于 2019-10-9 21:48 编辑

新手一枚，原始配置如下：(inside) to (outside) source static TFS_LD-10.44.195.154 TFS_LD-185.157.96.224 destination static PC-VISA-198.241.168.20 PC-VISA-198.241.168.20

看配置手册这个应该是两次nat，源目的都做转换的配置，前面的 source static TFS_LD-10.44.195.154 TFS_LD-185.157.96.224 意思是85.157.96.224这个地址对象做源nat转换，转换后的地址是10.44.195.154这个对象里面的地址；后面的部分没看太明白：destination static PC-VISA-198.241.168.20 PC-VISA-198.241.168.20 ，我理解这个配置应该是目的nat的配置，但是他配置的两个地址对象是相同的，不知道该怎么转？请各位大神帮忙看下我理解的对不对

Rps-Cheers · ‎10-14-2019

是的，这个应该是twice NAT，配置的场景一般可能是这样。
举例说明：
内部IP通过WEB服务器映射到ASA Outside的IP访问WEB服务
object network inside-www
host 192.168.100.100
object network public-www
host 202.100.1.1
object service tcp-80
service tcp destination eq www
nat (inside,inside) source static any interface destination static public-www inside-www service tcp-80 tcp-80
//将访问服务器的源IP映射成inside IP，将外部Outside地址映射成实际WEB Server IP；这里是将任意的IP地址映射成interface inside地址，将目的地址映射成inside-www定义的IP（即WEB Server），服务器源端口80映射到目的端口80
注意：因为流量从相同的接口接入，类似于同安全级别的接口之间互访，别忘记了配置：same-security-traffic permit intra-interface

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !