现有规则:

静态(DMZ,外部)200.147.90.89 172.17.1.3网络掩模255.255.255.255


今天有一个特殊情况。当172.17.1.3访问另一个站点200.200.200.200时,它必须是NAT-ED到不同的IP地址200.147.90.83
所以我做了什么:
1.添加新的访问列表PNAT-T:
访问列表PNAT-T扩展许可IP主机172.17.1.3主机200.200.200.200 

2.添加新的访问列表
FW1 / ACT / PRI(CONFIG)#静态(DMZ,外部)200.147.90.83访问列表PNAT-T
信息:与现有静态重叠
  ALPHADMZ:172.17.1.3至外:200.147.90.89 NETMASK 255.255.55.255

在测试期间,它不起作用。为什么,ASA的NAT的顺序。
"

1. NAT豁免(NAT 0访问列表)-in订单,直到第一次匹配。 Identity NAT不包含在此类别中;它包含在常规静态NAT或常规NAT类别中。我们不建议NAT豁免陈述中的重叠地址,因为可能会发生意外结果。

2. 静态NAT和静态PAT(常规和政策)(静态的) - 按顺序,直到第一次匹配。静态标识NAT包含在此类别中。

3. 策略动态NAT(NAT访问列表)-in订单,直到第一次匹配。允许重叠的地址。

4. 常规动态NAT()-最佳匹配。常规Identity NAT包含在此类别中。 NAT命令的顺序无关紧要; nat 使用最佳匹配实际地址的声明。例如,您可以创建一个常规语句以在接口上翻译所有地址(0.0.0.0)。如果要将网络的子集(10.1.1.1)转换为不同的地址,则可以创建一个语句以仅翻译10.1.1.1。当10.1.1.1进行连接时,使用10.1.1.1的特定语句,因为它最佳地址匹配。我们不建议使用重叠陈述;它们使用更多内存并可以减缓自适应安全设备的性能。

 

棘手的部分是#2包含NAT和PAT以及常规和策略。所以一个部分有4个迭代。按照它们输入配置的顺序进行。

"

最后一步,调整NAT的顺序,将策略NAT放在常规静态NAT之前。一切都像魅力一样工作!

经过 Netsec.

发表评论