我有一台 cisco ASA 5505(版本 8.0.4),目前在外部接口上有一个 IP 地址,10.1.1.1。这用于与外界的所有通信。
我想向此接口添加第二个 IP,172.16.0.1,该 IP 仅用于发往特定远程 IP(203.203.203.203)的流量
也就是说,如果数据包的地址为 203.203.203.203,它将从源 IP 为 172.16.0.1 的外部接口发出;任何其他流量都将从源 IP 为 10.1.1.1 的外部接口发出
当前配置:
interface Vlan2
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
global (outside) 1 interface
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
我如何添加第二个 IP 并进行必要的路由调整?
答案1
您不能为设备本身分配同一接口上的多个 IP。
您可以做的是在具有不同 VLAN 号的同一物理端口上创建虚拟接口,为该接口分配 172 IP,通过该接口将所有流量路由到 203.203.203.203,然后让 ASA 外部的某些东西位于同一 VLAN 上并负责进一步路由该流量。
答案2
我假设你已经混淆了 IP 地址,因为 172.16.0.0/16 是一个私有范围。
您需要创建一个动态 nat。首先您需要创建一个访问列表:
access-list custom_outside standard permit <inside_addresses> <inside_subnet>
然后你可以创建一个 nat:
static (<from_int>,<to_int>) 172.16.0.1 access-list custom_outside
这会将 acl 中的地址 NATcustom_outside为 172.16.0.1