我们目前正在使用 ASA5585(动态 PAT)对从特定子网到外部接口 IP 的所有内容进行 PAT。我们正在经历池耗尽,因此需要扩展全局 IP 范围。有人能想到一种在不中断现有连接的情况下切换到新范围的方法吗?谢谢您的关注!
答案1
根据您上面的评论,这是不可能的。
如果你要完全更改外部池的 IP 地址,那么无论你拥有什么连接必须重新建立。远程端点需要以某种方式知道使用新 IP 地址重新使用同一会话。
唯一可行的方法是,如果整个旧范围完全包含在新范围内。即使这样,我也不知道 ASA 会做什么(但如果设计正确,现有会话将继续)。但我知道,如果您完全更改池,则所有会话都必须删除。
答案2
根据主题https://supportforums.cisco.com/message/3769433我可以确认,当您更改 NAT 规则时,现有的转换将得到维护,而新的连接将使用新的池。