现有规则:

静态(dmz,外部)200.147.90.89 172.17.1.3网络掩码255.255.255.255


今天有一种特殊情况。当172.17.1.3访问另一个站点200.200.200.200时,必须将其设置为不同的IP地址200.147.90.83
所以我做了什么:
1.添加一个新的访问列表PNAT-T:
访问列表PNAT-T扩展许可ip主机172.17.1.3主机 200.200.200.200 

2.添加一个新的访问列表
FW1 / act / pri(con​​fig)#静态(dmz,外部)200.147.90.83访问列表PNAT-T
INFO:与现有静态重叠
 Alphadmz:172.17.1.3至外部:200.147.90.89 网络掩码255.255.255.255

在测试过程中,它不起作用。为什么,ASA中的NAT顺序。
"

1. NAT免除( t 0访问列表)-按顺序进行,直到第一个比赛为止。身份NAT不包括在此类别中。它包含在常规静态NAT或常规NAT类别中。我们不建议在NAT免除声明中重叠地址,因为可能会发生意外结果。

2. 静态NAT和静态PAT(常规和策略)(静态的 )— 按顺序,直到第一个比赛。静态身份NAT包括在此类别中。

3. 策略动态NAT( t 访问列表)-按顺序进行,直到第一个比赛为止。允许重叠地址。

4. 常规动态NAT( t )-最佳匹配。常规身份NAT包括在此类别中。 NAT命令的顺序无关紧要; NAT 使用最匹配真实地址的语句。例如,您可以创建一条常规语句来转换接口上的所有地址(0.0.0.0)。如果要将网络的子集(10.1.1.1)转换为其他地址,则可以创建一条语句以仅转换10.1.1.1。当10.1.1.1建立连接时,将使用10.1.1.1的特定语句,因为它与实际地址最匹配。我们不建议使用重叠的语句。它们使用更多的内存,并可能减慢自适应安全设备的性能。

 

棘手的部分是#2包含NAT和PAT以及常规和策略。 因此,在这一部分中有4次迭代。按照将它们输入配置的顺序进行。

"

最后一步,调整NAT的顺序,将策略NAT放在常规静态NAT之前。一切都像一个魅力!

通过 网络安全

发表评论