我有一台2台设备,一台思科ASA,另一台设备。 思科和其他设备都具有IPsec隧道,但位于不同的位置。 我需要确保其他设备的源端口在NAT时不是UDP-500,因为这是与Cisco IPsec服务相同的端口,所以我们看到一个问题,即发送给其他设备的回复数据包击中了ASA。
根据思科的NAT常见问题( http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html ),它保留了端口在默认情况下根据“Q.在configurationPAT(过载)时,每个内部全局IP地址可以创build的最大转换数是多less?
问题:如何强制所有PAT映射使用> 1024以上的源端口?
或者,我如何强制ASA忽略来自特定IP地址的IPsec数据包,并将它们视为正常的NAT数据包,并将它们转发回内部设备?
在Linux的iptables我会用这样的:iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT – 对源xxxx:1024-30000
通过另一种方式解决这个问题,禁用思科内部设备与之通信的IP上的IPsec访问。 这是通过控制面访问列表:
ciscoasa(config)# access-list FILTER-VPN deny ip xxxx yyyy any ciscoasa(config)# access-list FILTER-VPN permit ip any any ciscoasa(config)# access-group FILTER-VPN in interface outside control-plane
(来源: https : //supportforums.cisco.com/discussion/12001786/restrict-certain-ip-addresses-establishing-ipsec )