思科 ASA 路由,发夹弯?

思科 ASA 路由,发夹弯?

思科 ASA 5505,8.4.3

  1. LAN:10.0.15.0,安全级别100
  2. 无线:10.0.17.0,安全级别 75
  3. 广域网:安全级别 0

我需要从无线接口访问 LAN 上的服务器。问题是无线流量从 WAN1 发出,无法返回 LAN。为了解决 LAN 上的这个问题,我简单地为服务器创建了 DNS 条目以指向 LAN IP。这在无线接口上是不可能的,因为它使用外部 DNS 服务器。我希望无线接口使用外部 IP,然后通过防火墙返回。

我必须发布哪些其他信息来帮助找到解决该问题的方法?

答案1

不是吹毛求疵,但从无线到 LAN 并不是发夹弯,因为流量从一个接口传输到另一个接口。发夹弯可以是从无线到无线或从 LAN 到 LAN —— 比您要求的更具挑战性。

但是,要将流量从无线传输到 LAN:

  • 由于无线必须security-level 75连接到 LAN,因此security-level 100请确保您有一个允许来自真实源 IP无线接入真实 IP在 LAN 上。无论 NAT 如何,在 ASA 8.3+ 中都会使用真实 IP。
  • 如果您想通过无线方式使用 LAN 上托管的服务的公共 IP,最简单的方法是使用any映射接口的关键字,即服务器本身(LAN 接口后面)的对象 NAT。

例子:

! Define object for LAN network and Object NAT dynamic PAT
object network net-10.0.15.0-24
 description LAN Network
 subnet 10.0.15.0 255.255.255.0
 nat (LAN,WAN) dynamic interface

! Define object for WIRELESS and Object NAT dynamic PAT
object network net-10.0.17.0-24
 description WIRELESS Network
 subnet 10.0.17.0 255.255.255.0
 nat (WIRELESS,WAN) dynamic interface

! Define object for a server hosted in LAN, note the *any* in the Object NAT
object network hst-10.0.15.100
 description Server on LAN
 host 10.0.15.100
 nat (LAN,any) static 1.2.3.4

! Tweak as needed -- permits WIRELESS to LAN due to security-level difference.
access-list WIRELESS_access_in extended permit ip object net-10.0.17.0-24 object net-10.0.15.0-24
! Beware of implicit deny at end, make sure to configure this ACL properly.
! May have to finish with a permit any any.  Included below for reference.
access-list WIRELESS_access_in extended permit ip any any

! Apply the ACL to the interface
access-group WIRELESS_access_in in interface WIRELESS

在对象 NAT 中使用关键字时要非常小心any。尤其是动态 PAT 和动态 NAT。阅读ASA 8.4 配置指南 NAT 部分

相关内容