很多時候,因爲服務器內部通訊,我們需要將防火牆內網的服務器設置爲允許訪問內部映射到外網的IP地址,這種可以使用DMZ區域劃分來解決,但是很多時候條件只允許我們用兩個區域:outside、inside區域;
此時需要inside訪問內部服務器本身映射的外網IP地址,則需要進行如下步驟:
1、允許連接同一接口的不同個體互相通訊:
same-security-traffic permit intra-interface
防火牆默認這個是不允許的,所以我們需要打開這個設置;
2、流量方向是從inside到inside方向,我們要訪問的是一個外網的映射IP地址,因此需要做一個內部訪問內部的靜態NAT,
我們假設需要訪問的服務器內網IP地址爲192.168.1.10,經過防火牆的外網映射IP地址爲1.1.1.10,那麼inside訪問inside的靜態NAT配置爲:
static (inside,inside) 1.1.1.10 192.168.1.10 netmask 255.255.255.255
流量訪問方向爲inside到inside並且訪問的目的IP是1.1.1.10的時候,目的NAT爲192.168.1.10的內部服務器地址;
3、nat 1 192.168.1.0 255.255.255.0 這個內網NAT地址組,對應訪問inside區域的源nat配置:
global (inside) 1 interface
做完以上3步,即可滿足要求。