允许内部stream量在ASA 5505外面

如果使用Cisco ASDM，则可以select使用“启动向导”，同时保留当前的configuration。

从主ASDM窗口中，select“向导”和“启动向导…”

select“修改现有configuration”…

通过屏幕，直到你到达“地址翻译”页面。 对于您的设置，您想要使用端口地址转换（PAT）。 使用防火墙的外部接口IP。 这意味着，所有未明确给出静态NAT映射的stream量（如您的服务器）将源自防火墙的外部接口IP。 在这之前，您可能需要删除现有的NAT规则。 运行向导后重新添加它。

另请参阅本教程 。

问题是你的防火墙不知道如何显示从内部（私人）networking到外部（公共）networking的stream量。 当内部IP试图到达外部时，可能会在日志中丢失“NAT转换规则丢失”。

假设你已经拥有ACL，让它们在外面，你需要为所有内部地址build立一个dynamic的NAT规则，将NAT转换为外部接口上的一个公共IP。 您首先需要设置一个包含您要使用的公共IP的全局池，然后在Inside界面上为您的内部子网设置dynamicNAT规则。 这将一举覆盖其他内部客户。

global (OUTSIDE) 1 <public IP> netmask 255.255.255.255 nat (INSIDE) 1 <internal subnet> 255.255.255.0 

首先，请检查您具有哪个版本的Cisco ASA：

 show version | inc Software Version 

现在，基于版本，假设以下是真实的

• 外部界面的名称
• 里面的界面名称
• 10.20.33.0/24 – 内部接口所属的子网
• 10.20.33.1 – 内部接口的IP地址
• ABCD – 内部子网的IP地址将被NAT（例如，外部接口的IP地址）

您需要按照以下方式configurationdynamicNAT表项：

• 高达8.2 ：

   global (outside) 1 ABCD netmask 255.255.255.255 nat (inside) 1 10.20.33.0 255.255.255.0 

• 8.3和更高 ：

   object network anyname host ABCD object network inside range 10.20.33.2 10.20.33.254 nat (inside,outside) dynamic anyname 

就这样。 请让我知道你是否需要任何进一步的帮助。

ewwhite的答案是正确的，但不完整。 缺less的是网关信息。 即使按照ASA 9.2（2）.4，ASA也不通过启动向导来设置ISP网关。 这是疯狂的诱因，因为没有内部的主机可以上网。

通过ASDM设置网关：

1. login
2. 前往configuration – >设备设置 – >路由 – >静态路由。
3. 点击添加button（右上angular）。 出现“添加静态路由”对话框。
4. select：IP地址types：IPv4; 接口：外部; networking：obj_any; 网关IP：XXXX
5. 分别按OK，Apply和Save

几个笔记。 首先，将您的ISP网关值replace为XXXX。其次，这些指令基于ASDM 7.3（1）。 老版本的ASDM是相似的，但可能需要一些适应。 最后，“obj_any”表示IP地址为0.0.0.0，networking掩码为0.0.0.0。 如果您没有“obj_any”，请使用0.0.0.0 0.0.0.0值。

通过CLI设置网关：

1. 启用
2. configurationterminal
3. 外线路由0.0.0.0 0.0.0.0 XXXX 1
4. 复制运行configuration启动configuration

像以前一样，将网关值replace为XXXX如果您不知道网关，可以通过在此站点上input您的IP和networking掩码来轻松find它。