从 ASA 软件 8.0 到 8.4 的 NAT 规则变更

从 ASA 软件 8.0 到 8.4 的 NAT 规则变更

我有一个访问规则和一个 NAT 规则,它们在安全设备软件版本 8.0 上运行良好

规则如下: 在此处输入图片描述

在此处输入图片描述

但是,我无法在运行安全设备软件版本 8.4 的 ASA 上执行相同的规则。

我知道配置已经改变,我想我应该创建一个网络对象ath-security并同时定义我的访问和 NAT 规则,但我多年来没有在 ASA 上配置任何东西,有点超出我的理解范围。

我的设置如下:

在此处输入图片描述 在此处输入图片描述

我在这里做错了什么?

和应该是不同的;这是两个不同的 ASA。CORP-OUTSIDE是每个设备的外部 IP 地址的网络对象。是在装有 8.0 软件的 ASA 上,是在装有 8.4 软件的 ASA 上NM-OUTSIDEXXXX-OUTSIDECORP-OUTSIDENM-OUTSIDE


在装有 8.0 软件的 ASA 上,show running-config 返回以下内容:

静态(内部,外部)tcp 接口 www LVMSecurity www 网络掩码 255.255.255.255

show running-config 在装有 8.3 软件的 ASA 上返回以下内容:

对象网络 AthertonSecurity-2.123 nat(内部,外部)静态接口服务 tcp www www


使用 ASDM 数据包跟踪工具,我在 8.3 ASA 上收到以下错误:

信息:(sp-security-failed)Slowpath 安全检查失败

答案1

弄清楚了这一点,发布了我认为的答案:

问题出在访问规则设置中的 ACL。看来在 8.3 软件中,目标条件、目标:不再是“外部接口”,而是网络对象目标本身。

看起来思科已经将配置从看似倒退的方式转变为正确的方式了?

相关内容