思科ASA路由，发夹？

思科ASA 5505,8.4.3

局域网：10.0.15.0，安全级别100
WIRELESS：10.0.17.0，安全级别75
WAN：安全级别0

从WIRELESS接口，我需要访问局域网上的服务器。问题是WAN1上无线业务stream出，并且不能返回到LAN。为了在局域网上解决这个问题，我简单地为服务器创build了DNS条目，指向局域网IP。这在WIRELESS接口上是不可能的，因为它使用外部DNS服务器。我希望WIRELESS接口使用外部IP，然后通过防火墙传回。

我必须发布哪些附加信息来帮助find解决此问题的方法？

不要迂腐，但从无线到局域网不是一个发卡，因为stream量从一个接口传到另一个接口。一个发夹将从无线到无线或从局域网到局域网 – 这是一个比你所要求的更具挑战性的问题。

但是，要将stream量从无线传递到局域网：

由于WIRELESS对LAN的security-level 100具有security-level 75 ，因此确保您拥有一个ACL，允许从WIRELESS的真实源IP到LAN上的真实IP 。无论NAT如何，在ASA 8.3+中都使用真正的IP。
如果你想使用从WIRELESS局域网上托pipe的服务的公共IP，最简单的方法是使用any关键字作为服务器的对象NAT（后面的LAN接口）映射接口本身。

例：

 ! Define object for LAN network and Object NAT dynamic PAT object network net-10.0.15.0-24 description LAN Network subnet 10.0.15.0 255.255.255.0 nat (LAN,WAN) dynamic interface ! Define object for WIRELESS and Object NAT dynamic PAT object network net-10.0.17.0-24 description WIRELESS Network subnet 10.0.17.0 255.255.255.0 nat (WIRELESS,WAN) dynamic interface ! Define object for a server hosted in LAN, note the *any* in the Object NAT object network hst-10.0.15.100 description Server on LAN host 10.0.15.100 nat (LAN,any) static 1.2.3.4 ! Tweak as needed -- permits WIRELESS to LAN due to security-level difference. access-list WIRELESS_access_in extended permit ip object net-10.0.17.0-24 object net-10.0.15.0-24 ! Beware of implicit deny at end, make sure to configure this ACL properly. ! May have to finish with a permit any any. Included below for reference. access-list WIRELESS_access_in extended permit ip any any ! Apply the ACL to the interface access-group WIRELESS_access_in in interface WIRELESS

在对象NAT中使用any关键字要非常小心。特别是dynamicPAT和dynamicNAT。阅读ASA 8.4configuration指南NAT部分