抱歉,问这个问题比较菜鸟,我已经很多年没有这样做过了……
我有一个带 VPN 的 Cisco ASA,这是我五年前设置的,我想将 http 转发到内部 IP 地址。问题是:我访问 ASA 的唯一方法是通过 VPN,而且我不在设备附近,所以不能失去连接。我一直在阅读它,因为我已经忘记了,似乎我基本上需要:
- 为 int 和 ext IP 设置 nat 源
- 启用内部 nat
- 启用外部 nat
到目前为止听起来还不错?我需要对两组 IP(int 和 ext)执行两次。是否可以在不中断连接的情况下启用 NAT?典型的做法可以正常工作吗?
答案1
是的,这可以实现,无需关闭 IPSec 或 SSL VPN 隧道。几分钟前我刚做了类似的事情。
您将通过 ASDM GUI 界面还是仅通过 CLI 执行此操作?目前系统中没有 NAT 条目吗?
在没有框架的情况下,我更喜欢 ASDM...但是是的,您需要条目nat (inside,outside) static
...以及access-list
相关的内部 IP 地址。
我们是否假设您将为主机提供专用 IP?端口映射的设置(使用 ASA 的 IP)将有所不同。
另外,ASA 软件版本也是一个考虑因素。版本 8.2 对 NAT 的处理与 8.3 及以上版本略有不同。