Попытка настроить NAT с 2-х внешних IP-адресов на тот же частный IP-адрес

Question

Попытка настроить NAT с 2-х внешних IP-адресов на тот же частный IP-адрес

Cisco ASA 5510 В настоящее время у меня есть NAT для SMTP на одном внешнем IP к внутреннему IP. Мне нужно настроить 2 внешних IP-адреса для NAT на тот же IP-адрес внутри страны. Как я могу это сделать? например: 10.10.10.1 25 -> 192.168.0.200 25 10.10.10.3 25 -> 192.168.0.200 25

2

cisco nat cisco-asa pat

Источник

Keith 20 дек '12 в 19:18

4 ответа

Решение

Сначала вам нужно будет перейти на ASA после 8.3. Создание и объект сети с диапазоном IP-адресов для общественности. Затем создайте объектную сеть для внутреннего / реального IP-адреса сервера. Затем добавьте оператор nat, вызывающий первый объект.

!
object network outside_email
 range 10.10.10.1 10.10.10.2

!
!
object network inside_email
 host 192.168.0.200
 nat (inside,outside) static outside_email

1

Источник

BillyC5022 30 апр '13 в 18:24

С IOS 8.2 или ниже:

access-list SMTP-Services extended permit ip host 192.168.0.200 host 10.10.10.1
access-list SMTP-Services2 extended permit ip host 192.168.0.200 host 10.10.10.3

static (InternalInterface,ExternalInterface) 10.10.10.1 access-list SMTP-Services
static (InternalInterface,ExternalInterface) 10.10.10.3 access-list SMTP-Services2

Извините, я понял прямо противоположное тому, что вы хотели сделать.

Не забудьте добавить список доступа на ваш внешний интерфейс.

access-list _outside-in_ extended permit tcp host 10.10.10.1 host _YourExternalIP_ eq smtp
access-list _outside-in_ extended permit tcp host 10.10.10.3 host _YourExternalIP_ eq smtp

1

Источник

Alex 20 дек '12 в 19:29

Этот же вопрос есть на другом сайте Stack Exchange здесь. Это работает, потому что протокол, исходный IP, целевой IP и порт являются частью ключа для этого отображения 1:1. Это также отличная техника для устойчивости сети, если BGP находится вне досягаемости.

0

Источник

Nate Zaugg 22 сен '15 в 22:49

Другие вопросы по тегам cisco nat cisco-asa pat

skrobul 21 дек '12 в 10:45 2012-12-21 10:45 · Accepted Answer · 2012-12-21 10:45

Вы не сможете использовать статический PAT для этого, поскольку нарушите правило отображения 1:1. Брандмауэр должен знать, какое сопоставление использовать в обоих направлениях - как входящий, так и исходящий. В вашем случае, если соединение 192.168.0.200 возникло из брандмауэра порта 25, вы не знаете, какой глобальный IP использовать. Другими словами, это невозможно.

Простейшим решением было бы назначить дополнительный IP-адрес на внутреннем устройстве и поддерживать чистоту NAT. Допустим, вы назначаете дополнительный IP 192.168.0.201. Конфигурация будет:

static (inside,outside) tcp 10.0.0.1 25 192.168.0.200 25
static (inside,outside) tcp 10.0.0.3 25 192.168.0.201 25