Cisco ASA:单个接口上的多个静态IP

Question

我有一个cisco ASA 5505 (ver8.0.4)，目前在外部接口上有一个IP地址，10.1.1.1。这是用于所有与外部世界的交流。

我想在这个接口( 172.16.0.1 )中添加第二个IP，它只用于特定远程IP的通信(203.203.203.203)

也就是说，如果数据包为203.203.203.203，则它以源IP为172.16.0.1输出外部接口；任何其他通信量输出源IP为10.1.1.1的外部接口。

当前配置：

interface Vlan2
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
global (outside) 1 interface
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1

如何添加第二个IP并进行所需的路由调整？

Answer 1

您不能在同一接口上为单元本身分配多个IP。

您可以做的是在同一个物理端口上使用不同的VLAN号码创建一个虚拟接口，将172 IP分配给该接口，通过该接口将所有通信量路由到203.203.203.203，然后在相同的VLAN上设置ASA外部的一些东西，并负责将这些通信量路由到更远的位置。

Answer 2

我假设您已经混淆了ip地址，因为172.16.0.0/16是一个私有范围。

您需要创建一个动态nat。首先，您将创建一个访问列表：

access-list custom_outside standard permit <inside_addresses> <inside_subnet> 

然后创建一个nat：

static (<from_int>,<to_int>) 172.16.0.1 access-list custom_outside

这将使custom_outside acl中的地址nat到172.16.0.1