NAT/PAT问题

Question

我有一个思科防火墙与/30互联网连接。有一个外部接口和一个内部接口连接到客户端所处的交换机上。

所有来自内部网络的客户端都会被拍到外部接口，以便到达互联网。

我现在有一个服务器在内部网络，我需要从互联网访问。我真的不能使用外部接口的ip-adress在端口443上做静态nat语句和pat到此服务器吗？为了实现这一点，我真的需要一个/29和更多的ip地址吗？如果不是的话，我该怎么去找我的服务器？每次我尝试nat时，asdm都告诉我，我的nat语句将与外部接口重叠。

Answer 1

我假设你的ASA正在运行前8.3 IOS版本..。

它类似于在ASA中使用IP配置全局nat，其中不能使用单个IP配置多个全局nat语句，也不能使用单个IP配置NAT语句的多个组合。

接口NAT也同样适用..

所以您需要再使用一个IP来连接到内部服务器的入站连接。

您可以尝试这样做，以便更好地利用IP：

1. 由于它是/30，并且您直接在防火墙外部接口中进行配置，所以我假设您没有使用任何动态协议来进行子网广告或接收。
2. 因此，您可以要求服务提供商为局域网连接配置私有IP，并且只使用完整的/30来执行NAT (因为它现在被分配给接口，所以不能使用它的广播和单播IP。因此，如果您从接口分配中释放这些公共IP，您可以使用完整的/30 -4 IP来执行NAT。在Juniper防火墙中，广播和单播IP可以通过启用点到点选项来执行NAT，尽管您将/30分配给接口)

Answer 2

你不应该需要额外的IP。

我没有使用ASDM，但根据我的经验，设置静态NAT/PAT一点问题都没有。一些路由器软件可能是一个痛苦的奇怪或过于简化的设置这一点。但我认为ASDM比那更好。