我有两个外部接口,A 和 B。假设我希望所有进出端口 1000 和 2000 的流量都定向到 A,而所有其他流量都应流向 B。
因此,客户端正在访问网页(80 或 443)。该网页通过 B 出去。客户端访问端口 1000。该网页通过 A 出去。
答案1
听起来您正在寻找基于策略的路由 (PBR)。ASA 不支持该功能,您必须使用 Cisco IOS 设备(路由器或交换机)才能使用 PBR。 http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_item09186a00805b87d8.shtml#supportfeat(ASA 上没有 PBR)。
我们在 Cisco 1841 路由器上使用 PBR 来简化切换 ISP 时的过渡。 http://www.cisco.com/en/US/products/ps6599/products_white_paper09186a00800a4409.shtml(适用于 IOS 的 PBR 文档)。
答案2
差不多。PBR 是 Cisco IOS(路由器和交换机)特有的功能。ASA 有办法完成您要做的事情。ASA 称之为“策略 NAT”。
策略 NAT 只是在常规静态 NAT 或动态 NAT 语句中使用访问列表。这让您在定义要进行 NAT 的“内容”时拥有更大的灵活性。在常规静态/动态 NAT 中,您指定应该进行 NAT 的唯一标准是源 IP。使用策略 NAT,您将拥有一个访问列表,它允许您使用源 IP,和源端口、目标 IP、目标端口和协议。
但是,再读一遍,你似乎并不一定关心 NATing,而是关心路由。这很奇怪。需要从接口 A 出去的到端口 1000/2000 的连接是否转到特定的 IP 或网络?通常,端口不是用来区分流量去向的东西。如果你能提供你试图完成的事情的更多细节,我相信我们可以想出一些办法来适应。