我有一个有效的配置,但刚刚获得了一个辅助(备份/冗余)ISP,所以我必须对其进行配置。我找到了描述如何执行此操作的文章,包括跟踪和 SLA: http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118962-configure-asa-00.html
我遇到的问题是,这是一个非常基本的配置,而我有动态和静态 NAT,许多内部接口(内部、dmz、voip),每个接口都有一个不同的公共 IP 进行 NAT。我有几个“全局”命令,如下所示:
global (outside) 1 100.200.300.401
global (outside) 2 100.200.300.402
global (outside) 3 100.200.300.403
以及匹配的 NAT:
nat (inside) 1 0.0.0.0 0.0.0.0
nat (dmz) 2 0.0.0.0 0.0.0.0
nat (voip) 3 0.0.0.0 0.0.0.0
这只是动态的。我还有很多static (inside,outside)用于各种服务器的。
似乎在冗余 ISP 中,“全局”命令不再存在,并以某种方式被替代object network?这对我来说是新的,我以前从未使用过。这似乎有点棘手。我是否必须分配subnet给对象以匹配分配了接口的网络?
无论如何,我知道这很复杂,所以即使只是指向一个显示示例的页面也会有所帮助。我真的不能指望这里有详细的配置,我知道这一点。
答案1
您感到困惑,因为您现有的 NAT 语句使用旧的(8.3 之前版本)语法,而您正在查看的指南引用的是新的(8.3 之后版本)语法。
为了使用新语法,您必须将 ASA 版本升级到 8.3 或更高版本。
话虽如此,如果您出于某种原因想要继续使用旧版本,那么您现有的配置应该可以工作。您只需要为 BACKUP ISP 接口做一些额外的 NAT 语句。例如
全局(外部) 1 XXXX
全球的 (备份)1 xxx
一些资源用于解释 NAT 语法的差异:
https://supportforums.cisco.com/document/33921/asa-pre-83-83-nat-configuration-examples