RemoteSite (172.16.1.*)
|
Internet --- InternetUsers
|
ASA --- LocalUsers (192.168.1.*)
|
InsideNet (10.1.1.*)
|
Router
|
DeeperNet (10.22.22.*)
我有一台 Cisco ASA 5510,它有三个接口:内部/外部/本地用户。
内部有两个子网,InsideNet 和 DeeperNet,通过一个简单的路由器连接。ASA 的路由表有 DeeperNet 的条目。
远程站点通过外部接口上的局域网到局域网 VPN 进行连接。(此 VPN 包括 InsideNet 和 DeeperNet,因此 RemoteSite 的用户可以联系 DeeperNet 上的服务器)
所有到 InsideNet(10.1.1.1)上的 Web 服务器的流量都需要重定向到 Deepernet(10.22.22.22)上的 Web 服务器。对于本地用户来说,这可以通过静态 NAT 规则轻松完成:
静态(内部,本地用户)10.1.1.1 10.22.22.22 网络掩码 255.255.255.255
来自互联网用户的任何流量都会进入 ASA 的公共 IP,并且也可以通过静态 NAT 规则轻松处理。
静态(内部,外部) 203.203.203.203 10.22.22.22 网络掩码 255.255.255.255
我遇到的问题与 VPN 用户有关。我不确定 VPN 功能如何与 NAT 交互,以及 NAT 和 VPN 以何种顺序应用于 ASA。
如何配置静态 NAT 规则,以便任何通过 VPN 向 10.1.1.1 发送数据的远程用户都会将其重定向到 10.22.22.22?
此 NAT 是在 VPN 流量选择之前还是之后生效?(也就是说,如果将 VPN 配置为 RemoteSite<-> InsideNet,则只有到 10.1.1.1 的流量才会通过并被 NATT 到 DeeperNet IP,还是 ASA 会查看真实 IP 并确定它不是 VPN 的一部分?)
答案1
根据经验,我相信 NAT 先于 VPN 应用。不过我只处理过基础设施 VPN,这可能与 VPN 用户不同。