Cisco ASA 9.1:正向和反向流匹配的非对称NAT规则(rpf)

Question

有人能解释为什么下面的第一个NAT配置给我一个“非对称NAT规则”(RPF)错误的连接到"VPN1“，而第二个(在手册NAT中没有”任何“)使自动NAT实际工作？

自动NAT (第2节)不起作用(“非对称NAT")：

nat (Transit,Internet) source dynamic FW1 interface
!
object network FW1
 host 172.1.2.3
object network VPN1
 nat (Main,Internet) static interface service udp 1194 1195 
!
...

这似乎是可行的：(第1节中手动NAT的明确目标设置)

nat (Transit,Internet) source dynamic FW1 interface destination static DM_INLINE_NETWORK_51 DM_INLINE_NETWORK_51
!
object network FW1
 host 172.1.2.3
object network VPN1
 nat (Main,Internet) static interface service udp 1194 1195 
!
...

为什么这会对VPN1的NAT产生影响呢？我还是不明白。涉及到不同的(源)接口，显然不同的源地址，那么为什么其中一个会阻止另一个工作呢？

Answer 1

您的两个手动NAT语句之间的区别在于，其中一个语句还在目的地(或返回时的源或来自外部的通信量)上寻找匹配。

如果你把你的NAT声明转换成“外行”解释，那就更有意义了。

例如：

nat (Transit,Internet) source dynamic FW1 interface

当ASA在Transit接口上找到与FW1源匹配的通信量时，将其发送到Internet接口，并将源dynamically更改为Internet接口的interface IP。

nat (Transit,Internet) source dynamic FW1 interface destination static DM_INLINE_NETWORK_51 DM_INLINE_NETWORK_51

当ASA在Transit接口上找到与FW1源和DM_INLINE_NETWORK_51目标匹配的通信量时，将其发送到Internet接口，并将源dynamically更改为Internet接口的interface IP，并将目标statically更改为DM_INLINE_NETWORK_51。

差别是至关重要的：

第二个NAT语句仅在FW1与DM_INLINE_NETWORK_51对话时匹配。第一个NAT语句在FW1说话的任何时候都匹配。

因此，所有入站通信量(即:跨接口Internet到Transit)都将具有与第一个NAT语句匹配的返回流量。因此，NAT是不对称的--配置对入站流量的处理与其出站时的流量(就NAT而言)不同。

记住，这是一个动态NAT (也称为PAT)，根据定义，它只能是单向的。流量将从内部流向外部(或Transit到Internet)，而不是相反。