如何在ASA上NAT/PAT两个内部子网到一个单一广域网IP？

Question

我在两个Juniper Netscreen设备上有一个工作配置，我正试图在ASA 5505上复制这些设备。下面是一个场景：

+-----+   77.77.77.77   +-----+ 10.20.0.0/24 *******
| WAN | =============== | ASA | ------------ * DMZ *
+-----+                 +-----+    VLAN 20   *******
                           |
                           |  10.30.0.0/24   ***********
                           +---------------- * Clients *
                                VLAN 30      ***********

我试图在两个内部子网上执行PAT (也就是说，所有内部客户端都可以访问internet)。然而，当我试图使用ASDM配置NAT规则时，它说有一个PAT范围重叠。必须有一些方法来配置NAT规则，以便两个区域/子网都可以共享外部PAT IP (就像在ScreenOS中那样)，但我还没有找到它。

不幸的是，目前订购额外的外部IP并不是一种选择，所以我希望有一种方法可以做到这一点，而不必再购买任何设备。

Answer 1

我认为应该这样做：

  object-group FOO
    network-object 10.30.0.0 255.255.255.0
    network-object 10.20.0.0 255.255.255.0

  object network BAR
    host 77.77.77.77

  nat (inside,any) source dynamic FOO BAR