思科 ASA 5510 nat

思科 ASA 5510 nat

在我的基础架构中,我在公共 IP 地址上对服务器进行了网络地址转换。

请注意,可以从任何外部网络访问该服务器。

我的访问规则很好。

我的问题来自内部网络,我无法访问这个公共 IP,因为默认情况下所有流量都会转换到外部接口。

有人能告诉我这一点吗?

谢谢

答案1

如果您已经让 NAT 正常工作,则添加same-security-traffic permit intra-interface到您的配置中将启用 Hairpin NAT(有时称为 Loopback 或 inside-inside)。

笔记:

  • 这将允许具有相同安全级别的接口之间的流量;如果没有它,您只能从较高级别转到较低级别的网络(有状态),因此启用此功能可能会存在安全隐患,具体取决于您现在的环境设置方式。
  • 所有到该服务器的流量都将通过您的 ASA 传输。这可能是一个瓶颈。如果您拥有“Security Plus”许可证,您的 Eth0/0 和 0/1 是千兆端口。其他 3 个端口始终限制为 100Mb,没有许可证的所有 5 个端口也是如此。

相关内容