我有 Cisco ASA 8.2(5) 并且想配置端口转发。
Cisco ASA 有 2 个接口:
outside with IP 192.168.57.2
inside with IP 192.168.1.1
我有两个子网可通过外部界面:
192.168.17.0/24
192.168.18.0/24
并且两个子网可通过里面界面:
192.168.14.0/24
192.168.15.0/24
现在我想设置端口转发,以便将 ASA 外部接口上的相同端口转发到不同的内部主机,具体取决于外部客户端的子网:
- 如果客户端来自一个子网从外部连接到 ASA 的端口 4000(从 192.168.17.124 到 192.168.57.2:4000),我想将其转发到 192.168.14.5:3389。
- 如果客户端来自另一个子网连接到 ASA 外部接口上的相同端口(从 192.168.18.124 到 192.168.57.2:4000),我想将其转发到另一个子网中的主机(192.168.15.5:3389)。
这样的配置可以吗?我该如何配置它?
PS 我当前的配置只是始终将端口转发到同一个 IP,而不依赖于客户端子网:
object-group service OpenedPorts tcp-udp
port-object eq 4000
port-object eq 4002
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list outside_access_in extended permit object-group TCPUDP any any object-group OpenedPorts
access-group outside_access_in in interface outside
static (inside,outside) tcp interface 4000 192.168.14.5 3389 netmask 255.255.255.255
static (inside,outside) tcp interface 4002 192.168.14.6 22 netmask 255.255.255.255
答案1
ASA 在 9.4(1) 中添加了基于策略的路由,其中包含可应用于选定流量的多功能设置列表:
从发行说明:
基于策略的路由 (PBR) 是一种使用 ACL 通过具有指定 QoS 的特定路径路由流量的机制。ACL 可根据数据包第 3 层和第 4 层报头的内容对流量进行分类。此解决方案允许管理员为差异化流量提供 QoS,在低带宽、低成本的永久路径和高带宽、高成本的交换路径之间分配交互式和批量流量,并允许互联网服务提供商和其他组织通过明确定义的互联网连接路由来自不同用户组的流量。
我们引入了以下命令:设置 ip 下一跳验证可用性、设置 ip 下一跳、设置 ip 下一跳递归、设置接口、设置 ip 默认下一跳、设置默认接口、设置 ip df、设置 ip dscp、策略路由路由图、显示策略路由、调试策略路由
答案2
看来您无法在 ASA 上执行此操作。
支持此功能的功能称为“基于策略的路由”。但根据以下链接,思科仅在路由器上支持此功能,而不在 ASA 设备上支持此功能:
https://supportforums.cisco.com/discussion/11215831/source-routingroute-maps-asa