我有一台运行 8.4 版的 ASA 5505,其外部接口插入我们的内部网络。我想开放 ASA 后面的其中一个 VLAN 上的主机对我们内部网络上的主机的访问。我刚刚开始了解旧 PIX 上的 NAT,但现在 ASA 8.4 让我感到困惑。假设有一个干净的 ASA,其外部 VLAN 为 10.0.0.1/24,测试 VLAN 为 10.0.1.1/24,那么允许外部网络上的任何主机访问测试网络上的任何主机所需的基本配置是什么?
答案1
您是否已经配置了 ACL?如果您已将 10.0.0.0/24 网络定义为外部(默认接口安全级别 0),则它将不允许流量流向其他接口。
那么你的对象呢 - 你定义了它们吗?使用 ASA 8.4 时,你确实应该使用对象引用,而不是 IP。
就 NAT 而言,如果您只是希望对所有内容都进行 NoNAT(每个人都保留其 IP),您可以执行以下操作:
nat (外部,内部) 源静态 myOutsideSubnet myOutsideSubnet IP 目标静态 myInsideSubnet myInsideSubnet
这就是 8.4 上的“两次 NAT”NAT 方法。如果您是 8.4 的新手,这听起来可能有点奇怪。两次 NAT 只是意味着您为 NAT 定义了两个规则,每个方向一个。这并不明显,但默认情况下,所有规则都是双向的,因此上面的一个语句还创建了反向 NAT 规则,用于流量(内部、外部)。如果您为此使用 ASDM,您将在创建 NAT 时看到一个双向复选框,并且您将看到两个规则都出现在控制台中。
还有对象 NAT。请参阅 8.4 文档以了解其语法和示例: