Перерезать глобальный PAT-адрес ASA без разрыва соединения
В настоящее время мы осуществляем паттинг всего, начиная с определенной подсети и заканчивая IP-адресом внешнего интерфейса, используя наш ASA5585 (динамический PAT). Мы испытываем исчерпание пула и поэтому должны расширить глобальный диапазон IP-адресов. Кто-нибудь может придумать способ перехода на новый диапазон без разрыва существующих соединений? Спасибо за внимание!
2 ответа
В соответствии с темой по адресу https://supportforums.cisco.com/message/3769433 я могу подтвердить, что при изменении правила NAT существующие трансляции сохраняются и новые соединения используют новый пул.
Исходя из вашего комментария выше, это невозможно.
Если вы полностью меняете IP-адрес внешнего пула, то все ваши соединения должны быть восстановлены. Удаленной конечной точке нужно как-то знать, чтобы повторно использовать тот же сеанс с новым IP-адресом.
Единственный способ, которым это возможно, - это если весь старый диапазон целиком содержится в новом диапазоне. Даже тогда я не знаю, что будет делать ASA (но если он спроектирован правильно, существующие сессии будут продолжены). Но я знаю, что если вы полностью меняете свой пул, все сеансы должны прекратиться.