DMZ 中的 Cisco Asa 5506 公共 IP

DMZ 中的 Cisco Asa 5506 公共 IP

我正在运行 ASA 5506 (9.6)。我有两个 IP 范围 1.35.133.88/29 和 1.35.135.176/29。我已经在路由器中设置了路由。我有一个外部接口,其为 1.35.133.90。我有一个 DMZ 接口,其为 1.35.135.178。

您可以在下面找到配置:

!
interface GigabitEthernet1/1
 nameif outside
 security-level 0
 ip address 1.35.133.90 255.255.255.248 
!
interface GigabitEthernet1/2
 nameif mgmt
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface GigabitEthernet1/3
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.255.255.0 
!
interface GigabitEthernet1/4
 nameif dmz
 security-level 50
 ip address 1.35.135.178 255.255.255.248 
!

object network DMZInternet
 subnet 1.35.135.176 255.255.255.248

access-list outside_access_in extended permit icmp any any log debugging 
access-list outside_access_in extended permit ip any host 1.35.135.179 log debugging 
access-list outside_access_in extended permit icmp any object DMZInternet

object network EdgeServer
 nat (dmz,outside) static 1.35.135.179

access-group outside_access_in in interface outside
access-group nonat in interface dmz
access-group global_access global

route outside 0.0.0.0 0.0.0.0 1.35.133.89 1
route inside 192.168.0.0 255.255.255.0 10.0.0.2 1
route outside 0.0.0.0 0.0.0.0 1.35.133.93 tunneled

我想在主机上使用公共 IP 地址,但我不知道为什么会失败。如果我从 Cisco C881 路由器运行 ping 命令,它不会通过 ASA 检索公共 IP 地址。

我在这里做错了什么?

答案1

好的,我找到了所有问题的根源。ISP 将第二个 IP 范围路由到其 WAN 地址,而不是内部 ASA 网关。

答案2

如果您尝试让 DMZ 服务器通过 NAT 响应公共 IP,您可以设置代理 arp 并针对外部接口的 mac 配置 arp 条目 - 类似于:

arp 外部 1.35.135.179 别名(假设该 IP 是您尝试发布的 IP)。

然后,您可以将对象 NAT 到您的 DMZ 服务器 IP 地址。

您可能还想清除路由器上的 arp 缓存以加快处理速度。

相关内容