思科ASA 5510我目前有一个外部IP到内部IP的SMTP的NAT。 我需要在内部将两个外部IP设置为NAT。 我怎样才能做到这一点? 例如:10.10.10.1 25 – > 192.168.0.200 25 10.10.10.3 25 – > 192.168.0.200 25
您将无法使用静态PAT,因为您会破坏1:1映射规则。 防火墙必须知道在两个方向使用什么映射 – in-out和out-> in。 在你的情况下,如果192.168.0.200从端口25发起连接防火墙将不知道使用哪个全局IP。 换句话说,这是不可能的。
最简单的解决scheme是在内部设备上分配额外的IP地址,并保持NAT的清洁。 假设您分配了192.168.0.201的附加IP。 configuration将是:
static (inside,outside) tcp 10.0.0.1 25 192.168.0.200 25 static (inside,outside) tcp 10.0.0.3 25 192.168.0.201 25 使用IOS 8.2或以下版本:
access-list SMTP-Services extended permit ip host 192.168.0.200 host 10.10.10.1 access-list SMTP-Services2 extended permit ip host 192.168.0.200 host 10.10.10.3 static (InternalInterface,ExternalInterface) 10.10.10.1 access-list SMTP-Services static (InternalInterface,ExternalInterface) 10.10.10.3 access-list SMTP-Services2
对不起,我已经明白了你想要做的事情。
不要忘记在你的外部接口上添加一个访问列表。
access-list _outside-in_ extended permit tcp host 10.10.10.1 host _YourExternalIP_ eq smtp access-list _outside-in_ extended permit tcp host 10.10.10.3 host _YourExternalIP_ eq smtp
首先,您需要升级到ASA后8.3。 创build和对象networking与公众的IP范围。 然后为服务器的内部/真实IP地址创build一个对象networking。 然后添加一个调用第一个对象的nat语句。
! object network outside_email range 10.10.10.1 10.10.10.2 ! ! object network inside_email host 192.168.0.200 nat (inside,outside) static outside_email
在另一个Stack Exchange站点上有同样的问题。 这是可行的,因为协议,源IP,目的地IP和端口都是这种1:1映射关键的一部分。 如果BGP不了解,这也是networking弹性的一个很好的技术。