我有思科ASA 8.2(5),并希望configuration端口转发。
思科ASA有2个接口:
outside with IP 192.168.57.2 inside with IP 192.168.1.1 我有两个可通过外部接口访问的子网:
192.168.17.0/24 192.168.18.0/24
而通过里面的界面可以得到两个子网:
192.168.14.0/24 192.168.15.0/24
现在我想设置端口转发,以便ASA外部接口上的同一端口被转发到不同的内部主机,具体取决于外部客户端的子网:
这样的configuration可能吗? 我怎么configuration它?
PS我目前的configuration只是总是将端口转发到相同的IP,而不是取决于客户端子网:
object-group service OpenedPorts tcp-udp port-object eq 4000 port-object eq 4002 object-group protocol TCPUDP protocol-object udp protocol-object tcp access-list outside_access_in extended permit object-group TCPUDP any any object-group OpenedPorts access-group outside_access_in in interface outside static (inside,outside) tcp interface 4000 192.168.14.5 3389 netmask 255.255.255.255 static (inside,outside) tcp interface 4002 192.168.14.6 22 netmask 255.255.255.255
ASA在9.4(1)中添加了基于策略的路由,可以将多种设置应用于选定的stream量:
从发行说明 :
基于策略的路由(PBR)是一种机制,通过该机制,通过ACL使用指定的QoS通过特定path来路由stream量。 ACL使stream量根据数据包的三层和四层报头的内容进行分类。 这种解决scheme使pipe理员能够为差异化的stream量提供QoS,在低带宽,低成本的永久path和高带宽,高成本的交换path之间分配交互式和批量stream量,并允许互联网服务提供商和其他组织路由来自各种用户通过明确的互联网连接。
我们引入了下列命令: set ip next-hop verify-availability,set ip next-hop,set ip next-hop recursive,set interface,set ip default next-hop,set default interface,set ip df,set ip dscp,策略路由路由映射,显示策略路由,debugging策略路由
看来你不能在ASA上这样做。
支持这一function的function称为“基于策略的路由”。 但根据以下链接,思科仅在路由器上支持此function,但不支持在ASA设备上:
https://supportforums.cisco.com/discussion/11215831/source-routingroute-maps-asa