所以我inheritance了思科ASA 5505,我没有任何经验的东西! 有两个WAN接口的networking接口,当然还有LAN接口。 现在在NAT规则中,有两条规则:
Match Criteria: Original Packet Action Translated Packet: SourceInt DesInt Source Destination Service Source Destination Service 3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original 4 inside Outside-ISP2 obj_Any2 any any Outside-ISP2 original original 如果我删除了这些NAT中的任何一个,那么在所述接口上没有人可以访问局域网之外的任何东西,我从中删除了NAT规则。 这条规则是干什么的?
不想听到光顾,你应该validation你对NAT的理解;
局域网上的客户端可能有一个私有IP地址 (从RFC1918 ),不能通过Internet路由。 两个WAN接口可能具有从它们连接的两个ISP分配的公共可路由IP地址。
当局域网中的主机连接到互联网上的主机(如Web服务器)时,它向ASA发出请求,ASA将该请求传递给远程Internet主机,但是将AS中的LAN主机的IP地址请求,到其公共IP地址之一。 如果ASA通过第一个WAN接口发送请求,则ASA将把请求的源IP更改为第一个WAN接口分配的IP;
Action Translated Packet: Source: Outside-ISP1
如果请求是通过第二个WAN接口发送的,则使用另一个规则Outside-ISP2并修改请求以使用第二个WAN接口的源IP,而不是LAN内部专用IP地址。
如果您放弃这些NAT规则之一,则LAN主机地址不会转换为公共可路由地址,并且发送到网站的请求将不会被回复,因为网站无法与私有IP上的主机进行通信地址,它不知道它在哪里或如何通过互联网到达那里。
由于两条规则看起来都是一样的,只看第一条:
SourceInt DesInt Source Destination Service Source Destination Service 3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original
这个规则是说:“任何进入inside接口的stream量(很可能是局域网接口),这个接口的名字叫做Outside-ISP1 (这很可能是第一个WAN接口,也是它将会去那里,可能是因为ASA上的默认路由),来自匹配那些在obj_Any (这可能匹配任何内部局域网主机IP)寻findany Destination ,并通过any Service的源IP;将将源IP更改为Outside-ISP1 (WAN1接口的IP), Destination保持原样, Service保持原样。
这些用于匹配基于目的地和服务的stream量的额外选项可用于其他types的NAT规则,例如端口redirect或基于策略的路由。
在生产时间你正在玩configuration吗? 🙂
它正在执行NAT转换…将启动stream量的客户端的源地址更改为外部接口的源IP(Outside-ISP1或Outside-ISP2,具体取决于它所触发的NAT规则)。
这是说:
如果源是“obj_Any”列表中的一个对象,并且目的地是任何服务/端口上的任意目的地,则新的源IP是Outside-ISP1接口的IP,并且目的IP和服务/端口保持原始/不变。
你需要了解NAT基本上是什么,为什么它存在等。它比简单的解释(NAT表,NAT / PAT等等)更复杂。