Cisco ASA 5510 我目前有一个 SMTP NAT,将一个外部 IP 映射到一个内部 IP。我需要设置 2 个外部 IP,以便内部 NAT 到同一个 IP。我该怎么做?例如:10.10.10.1 25 --> 192.168.0.200 25 10.10.10.3 25 --> 192.168.0.200 25
答案1
您将无法为此使用静态 PAT,因为您会破坏 1:1 映射规则。防火墙必须知道在两个方向上使用什么映射 - 包括输入->输出和输出->输入。在您的例子中,如果 192.168.0.200 从端口 25 发起连接,防火墙将不知道要使用哪个全局 IP。换句话说,这种方式是不可能的。
最简单的解决方案是在内部设备上分配额外的 IP 地址并保持 NAT 清洁。假设您分配额外的 IP 192.168.0.201。配置如下:
static (inside,outside) tcp 10.0.0.1 25 192.168.0.200 25
static (inside,outside) tcp 10.0.0.3 25 192.168.0.201 25
答案2
使用 IOS 8.2 或以下版本:
access-list SMTP-Services extended permit ip host 192.168.0.200 host 10.10.10.1
access-list SMTP-Services2 extended permit ip host 192.168.0.200 host 10.10.10.3
static (InternalInterface,ExternalInterface) 10.10.10.1 access-list SMTP-Services
static (InternalInterface,ExternalInterface) 10.10.10.3 access-list SMTP-Services2
抱歉,我理解的和你想做的完全相反。
不要忘记在外部接口上添加访问列表。
access-list _outside-in_ extended permit tcp host 10.10.10.1 host _YourExternalIP_ eq smtp
access-list _outside-in_ extended permit tcp host 10.10.10.3 host _YourExternalIP_ eq smtp
答案3
首先,您需要升级到 ASA 8.3 之后的版本。创建一个具有公共 IP 范围的对象网络。然后为服务器的内部/真实 IP 地址创建一个对象网络。然后添加一个调用第一个对象的 nat 语句。
!
object network outside_email
range 10.10.10.1 10.10.10.2
!
!
object network inside_email
host 192.168.0.200
nat (inside,outside) static outside_email
答案4
另一个 Stack Exchange 网站上有同样的问题这里。这是因为协议、源 IP、目标 IP 和端口都是此 1:1 映射的关键部分。如果 BGP 无法掌握,这也是一种很好的网络弹性技术。