Cisco ASA 多个公共 IP

Question 1

首先，如果您确实只有一个公共 IP，那么尝试为两个内部主机转发相同的端口是行不通的。

如果您有一系列 IP，但您的 ISP 可能为您提供了一个小型 /29 子网，那么您很幸运。如果他们将 /29 路由到您的 ASA，那么显然像往常一样，您只能在外部接口上配置一个 IP，但如果它正在接收这些其他 IP 的流量，它可以与它们一起工作。

（下面是一个通过 PPPoE 分配 IP 的 ASA 示例，并且 ISP 将 /29 路由到该接口，但是，如果您的上行链路是以太网段，则 ASA 可以使用代理 ARP）。

由于您没有说明所运行的 ASA OS 版本，因此我无法更具体说明，因此这里是我使用的示例，版本为 8.2。这允许在路由到 ASA 的同一子网中的第二个公共 IP 上使用 RDP（端口 3389），在第二个内部主机上使用 RDP（我已包含默认 NAT 规则等，以便您可以看到更大的图景）。

! Assume we get assigned the public IP 1.2.3.4, and also in this subnet 
! routed to the ASA is 1.2.3.5
! RDP to 1.2.3.5 goes to 2nd internal host 192.168.0.20.
interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group PNDSL
 ip address pppoe setroute 
!
interface Ethernet0/0
 switchport access vlan 2
!
access-list inside_access_in extended permit ip any any 
access-list outside_access_out extended permit ip any any 
access-list rdp_inbound extended permit tcp any interface outside eq 3389 
access-list rdp_inbound_54 extended permit tcp any host 1.2.3.5 eq 3389 log 
!
global (outside) 1 interface
global (outside) 2 1.2.3.5
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 1.2.3.5 192.168.0.20 netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group rdp_inbound_54 in interface outside
access-group outside_access_out out interface outside

我希望这是适合您的正确配置，我一直专注于 8.4，因为它们引入的更改对于我简单的大脑来说太多了，而 8.4 之前的东西我已经无法理解了！

Answer

首先，如果您确实只有一个公共 IP，那么尝试为两个内部主机转发相同的端口是行不通的。

如果您有一系列 IP，但您的 ISP 可能为您提供了一个小型 /29 子网，那么您很幸运。如果他们将 /29 路由到您的 ASA，那么显然像往常一样，您只能在外部接口上配置一个 IP，但如果它正在接收这些其他 IP 的流量，它可以与它们一起工作。

（下面是一个通过 PPPoE 分配 IP 的 ASA 示例，并且 ISP 将 /29 路由到该接口，但是，如果您的上行链路是以太网段，则 ASA 可以使用代理 ARP）。

由于您没有说明所运行的 ASA OS 版本，因此我无法更具体说明，因此这里是我使用的示例，版本为 8.2。这允许在路由到 ASA 的同一子网中的第二个公共 IP 上使用 RDP（端口 3389），在第二个内部主机上使用 RDP（我已包含默认 NAT 规则等，以便您可以看到更大的图景）。

! Assume we get assigned the public IP 1.2.3.4, and also in this subnet 
! routed to the ASA is 1.2.3.5
! RDP to 1.2.3.5 goes to 2nd internal host 192.168.0.20.
interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group PNDSL
 ip address pppoe setroute 
!
interface Ethernet0/0
 switchport access vlan 2
!
access-list inside_access_in extended permit ip any any 
access-list outside_access_out extended permit ip any any 
access-list rdp_inbound extended permit tcp any interface outside eq 3389 
access-list rdp_inbound_54 extended permit tcp any host 1.2.3.5 eq 3389 log 
!
global (outside) 1 interface
global (outside) 2 1.2.3.5
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 1.2.3.5 192.168.0.20 netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group rdp_inbound_54 in interface outside
access-group outside_access_out out interface outside

我希望这是适合您的正确配置，我一直专注于 8.4，因为它们引入的更改对于我简单的大脑来说太多了，而 8.4 之前的东西我已经无法理解了！

Question 2

谁说 ASA 只有一个公共 iP？

它是一个防火墙，它可以接受你告诉它的任何流量。

除了其自身的外部 IP 之外的 IP 可以 NAT 到其他接口（或者，内部端口可以 NAT 到外部接口上的 IP）。

ASA 就是这样作品；它没有传统的路由，但一切都通过 NAT 进行。

Answer