我有一台 Cisco ASA5510,与 ASA 和多个公共 IP 相关的文章说这无法实现。我的问题是如何最好地解决这样的情况:
我有 3 个区域:外部、内部和 DMZ
- 外面是互联网
- 里面是客户端机器
- DMZ 是与外部和内部服务相关的服务器的区域。
我的情况有点复杂,但为了简单起见,可以这样做:
我想要放置一个 Exchange 服务器和一个 Web 服务器(可在 DMZ 区域从外部访问)
Web 服务器使用 TCP80/443,Exchange 服务器使用 443
那么问题是:如果 ASA 只有一个公共 IP,您如何在 1 个公共 IP 后面的两个内部主机上对端口 443 进行 DNAT?通常,当我在 Linux 机器上执行这种情况时,我会使用别名接口(如 eth0:0、eth0:1),并在每个接口上设置 1 个公共 IP。
对我来说这肯定是一个非常常见的情况,有什么关于如何使用 ASA 解决它的想法吗?
/KGDI
答案1
首先,如果您确实只有一个公共 IP,那么尝试为两个内部主机转发相同的端口是行不通的。
如果您有一系列 IP,但您的 ISP 可能为您提供了一个小型 /29 子网,那么您很幸运。如果他们将 /29 路由到您的 ASA,那么显然像往常一样,您只能在外部接口上配置一个 IP,但如果它正在接收这些其他 IP 的流量,它可以与它们一起工作。
(下面是一个通过 PPPoE 分配 IP 的 ASA 示例,并且 ISP 将 /29 路由到该接口,但是,如果您的上行链路是以太网段,则 ASA 可以使用代理 ARP)。
由于您没有说明所运行的 ASA OS 版本,因此我无法更具体说明,因此这里是我使用的示例,版本为 8.2。这允许在路由到 ASA 的同一子网中的第二个公共 IP 上使用 RDP(端口 3389),在第二个内部主机上使用 RDP(我已包含默认 NAT 规则等,以便您可以看到更大的图景)。
! Assume we get assigned the public IP 1.2.3.4, and also in this subnet
! routed to the ASA is 1.2.3.5
! RDP to 1.2.3.5 goes to 2nd internal host 192.168.0.20.
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group PNDSL
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
access-list inside_access_in extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list rdp_inbound extended permit tcp any interface outside eq 3389
access-list rdp_inbound_54 extended permit tcp any host 1.2.3.5 eq 3389 log
!
global (outside) 1 interface
global (outside) 2 1.2.3.5
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 1.2.3.5 192.168.0.20 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group rdp_inbound_54 in interface outside
access-group outside_access_out out interface outside
我希望这是适合您的正确配置,我一直专注于 8.4,因为它们引入的更改对于我简单的大脑来说太多了,而 8.4 之前的东西我已经无法理解了!
答案2
谁说 ASA 只有一个公共 iP?
它是一个防火墙,它可以接受你告诉它的任何流量。
除了其自身的外部 IP 之外的 IP 可以 NAT 到其他接口(或者,内部端口可以 NAT 到外部接口上的 IP)。
ASA 就是这样作品;它没有传统的路由,但一切都通过 NAT 进行。
答案3
这没什么不寻常的。确实,ASA 设备每个子网不能容纳多个 IP。
但是使用更多地址是标准做法。您可以为 ASA 未持有的 IP 设置 NAT。唯一的要求是这些地址由您的提供商路由给您 - 它们甚至不需要与您的链接网络位于同一子网中。