James Asked: 2013-04-06 06:36:09 +0800 CST2013-04-06 06:36:09 +0800 CST 2013-04-06 06:36:09 +0800 CST 在 ASA 5505 上允许内部流量流向外部 772 我们有一个 ASA 5505,其内部接口为 10.22.33.0/24,外部接口为 xxxx/26。内部 ip 显然是私有的,外部 ip 是公共的。 我已经能够设置一个 nat 规则,将所有请求路由到一个公共地址到 server1,私有地址为 10.22.33.5。通过添加此规则,它允许 server1 也可以访问 Internet,这很方便。到目前为止,一切都很好。 我正在努力做的是允许所有内部 ip 访问互联网。有谁知道我怎么能做到这一点? networking 4 个回答 Voted Best Answer ewwhite 2013-04-10T04:15:41+08:002013-04-10T04:15:41+08:00 如果使用 Cisco ASDM,您可以选择在保留当前配置的同时使用“启动向导”。 从主 ASDM 窗口中,选择“Wizards”和“Startup Wizard...” 选择“修改现有配置”... 逐步浏览屏幕,直到到达“地址转换”页面。对于您的设置,您希望使用端口地址转换 (PAT)。使用防火墙的外部接口IP。这意味着所有未明确指定静态 NAT 映射(如您的服务器)的流量都将来自防火墙的外部接口 IP。您可能需要删除现有的 NAT 规则才能生效。运行向导后重新添加它。 另请参阅本教程。 August 2013-04-06T07:41:21+08:002013-04-06T07:41:21+08:00 问题是您的防火墙不知道如何呈现从内部(专用)网络到外部(公共)网络的流量。当内部 IP 试图到达外部时,很可能会在日志中抛出“Missing NAT translation rule”。 假设您已经拥有允许它们进入外部的 ACL,您需要为所有内部地址设置一个动态 NAT 规则,以将其 NAT 到外部接口上的单个公共 IP。您首先需要设置一个包含您要使用的公共 IP 的全局池,然后在 Inside 接口上为您的内部子网设置动态 NAT 规则。这将一次性覆盖其余的内部客户。 global (OUTSIDE) 1 <public IP> netmask 255.255.255.255 nat (INSIDE) 1 <internal subnet> 255.255.255.0 Guardian 2013-04-10T01:42:00+08:002013-04-10T01:42:00+08:00 首先,请检查您使用的是哪个版本的Cisco ASA: show version | inc Software Version 现在,基于版本,假设以下内容为真 outside - 外部接口的名称 inside - 内部接口的名称 10.20.33.0/24 -内部接口所属的子网 10.20.33.1 -内部接口的 IP 地址 ABCD - 内部子网的 IP 地址将被 NAT 转换为(例如外部接口的 IP地址) 您需要通过以下方式配置动态 NAT 条目: 高达 8.2: global (outside) 1 A.B.C.D netmask 255.255.255.255 nat (inside) 1 10.20.33.0 255.255.255.0 8.3 及更高版本: object network anyname host A.B.C.D object network inside range 10.20.33.2 10.20.33.254 nat (inside,outside) dynamic anyname 就这样。如果您需要任何进一步的帮助,请告诉我。 judoman 2014-09-01T08:54:38+08:002014-09-01T08:54:38+08:00 ewwhite 的回答是正确的但不完整。缺少的是网关信息。ASA 不通过启动向导设置 ISP 网关,即使从 ASA 9.2(2).4 开始也是如此。这会导致精神错乱,因为这样内部主机就无法访问 Internet。 通过 ASDM 设置网关: 登录 转到配置->设备设置->路由->静态路由。 单击添加按钮(右上角)。出现“添加静态路由”对话框。 选择:IP地址类型:IPv4;接口:外部;网络:obj_any;网关IP:XXXX 分别按确定、应用和保存 一些注意事项。首先,将您的 ISP 网关值替换为 XXXX 其次,这些说明基于 ASDM 7.3(1)。旧版本的 ASDM 类似,但可能需要进行一些调整。最后,“obj_any”代表IP地址0.0.0.0和网络掩码0.0.0.0。如果您没有“obj_any”,请使用 0.0.0.0 0.0.0.0 值。 通过 CLI 设置网关: 使能够 配置终端 路由外部 0.0.0.0 0.0.0.0 XXXX 1 复制运行配置启动配置 和以前一样,将您的网关值替换为 XXXX 如果您不知道您的网关,您可以通过在此站点上输入您的 IP 和网络掩码轻松找到它。
如果使用 Cisco ASDM,您可以选择在保留当前配置的同时使用“启动向导”。
从主 ASDM 窗口中,选择“Wizards”和“Startup Wizard...”
选择“修改现有配置”...
逐步浏览屏幕,直到到达“地址转换”页面。对于您的设置,您希望使用端口地址转换 (PAT)。使用防火墙的外部接口IP。这意味着所有未明确指定静态 NAT 映射(如您的服务器)的流量都将来自防火墙的外部接口 IP。您可能需要删除现有的 NAT 规则才能生效。运行向导后重新添加它。
另请参阅本教程。
问题是您的防火墙不知道如何呈现从内部(专用)网络到外部(公共)网络的流量。当内部 IP 试图到达外部时,很可能会在日志中抛出“Missing NAT translation rule”。
假设您已经拥有允许它们进入外部的 ACL,您需要为所有内部地址设置一个动态 NAT 规则,以将其 NAT 到外部接口上的单个公共 IP。您首先需要设置一个包含您要使用的公共 IP 的全局池,然后在 Inside 接口上为您的内部子网设置动态 NAT 规则。这将一次性覆盖其余的内部客户。
首先,请检查您使用的是哪个版本的Cisco ASA:
现在,基于版本,假设以下内容为真
您需要通过以下方式配置动态 NAT 条目:
高达 8.2:
8.3 及更高版本:
就这样。如果您需要任何进一步的帮助,请告诉我。
ewwhite 的回答是正确的但不完整。缺少的是网关信息。ASA 不通过启动向导设置 ISP 网关,即使从 ASA 9.2(2).4 开始也是如此。这会导致精神错乱,因为这样内部主机就无法访问 Internet。
通过 ASDM 设置网关:
一些注意事项。首先,将您的 ISP 网关值替换为 XXXX 其次,这些说明基于 ASDM 7.3(1)。旧版本的 ASDM 类似,但可能需要进行一些调整。最后,“obj_any”代表IP地址0.0.0.0和网络掩码0.0.0.0。如果您没有“obj_any”,请使用 0.0.0.0 0.0.0.0 值。
通过 CLI 设置网关:
和以前一样,将您的网关值替换为 XXXX 如果您不知道您的网关,您可以通过在此站点上输入您的 IP 和网络掩码轻松找到它。