RemoteSite (172.16.1.*) | Internet --- InternetUsers | ASA --- LocalUsers (192.168.1.*) | InsideNet (10.1.1.*) | Router | DeeperNet (10.22.22.*) 我有一个Cisco ASA 5510有三个接口,内部/外部/本地用户。
在内部有两个子网,InsideNet和DeeperNet,由一个简单的路由器连接。 ASA的路由表中有一个DeeperNet的条目。
远程站点通过外部接口上的LAN到LAN连接。 (此VPN包含InsideNet和DeeperNet,因此RemoteSite的用户可以联系DeeperNet上的服务器)
所有到InsideNet(10.1.1.1)上的Web服务器的stream量都需要redirect到Deepernet上的Web服务器(10.22.22.22)对于本地用户,这可以通过静态NAT规则轻松完成:
static(inside,localusers)10.1.1.1 10.22.22.22 netmask 255.255.255.255
来自互联网用户的任何stream量都来自ASA的公共IP,并且使用静态NAT规则也很容易处理。
静态(内部,外部)203.203.203.203 10.22.22.22networking掩码255.255.255.255
我遇到问题的地方是VPN用户。 我不确定VPNfunction如何与NAT交互,以及NAT和VPN应用于ASA的顺序。
如何configuration一个静态NAT规则,以便任何通过VPN向远程用户发送数据的远程用户都将其redirect到10.22.22.22?
此NAT在VPNstream量select之前还是之后生效? (也就是说,如果将VPNconfiguration为RemoteSite < – > InsideNet,只有stream量通过10.1.1.1进入DeeperNet IP,或者ASA会查看真实的IP并确定它不属于VPN的一部分? )
从经验,我相信NAT在VPN之前得到应用。 但是我只处理了基础设施VPN,这可能与VPN用户不同。