在使用ASDM配置外網到內網的STATIC NAT時需要注意其配置的順序,否則配置的該NAT策略不會生效,具體參看下圖,測試結論在文末說明。
上圖中的NAT配置只有三條,先配置了內網到外網的NAT(1),再配置了DMZ到外網的NAT(2),最後配置了外網到DMZ的NAT(3)。
以上NAT配置後,測試內網到外網,DMZ到外網的的連通性均正常,只有DMZ映射出去的www服務在外網無法測試訪問(排除outside ACL和路由問題,已放行)。
在外網測試結果如下,無法聯通。
接下來將外網到DMZ的映射條目調整到最上方,應用後再測試,可以正常訪問。
爲了進一步驗證其順序,繼續將該NAT條目下移並應用,測試正常。
再次移動到初始位置,測試不通過。
測試驗證結論:
當先配置DMZ到outside的dynamic NAT後,再配置DMZ 的Static NAT時,其順序必須再對於dynamic NAT之前,與其他端口以及方向的NAT條目沒有關係。
問題之外:
上述關於DMZ內,外網NAT的配置時單獨配置的2條策略,通常DMZ都是會用來對外提供服務的,所以對外NAT映射時必不可少的,這裏用ASDM直接對DMZ的內網映射一次性配置,就可避免上述順序問題。
採用STATIC NAT的方式配置外網到DMZ的NAT映射,完成後生產的策略條目如下:
條目2即爲配置完成後的策略,請注意這裏的條目2包含2條NAT策略,可以看出在配置外網到DMZ的NAT的同時其下方就會生成一條DMZ到外網對於的NAT策略,這個順序和前面問題驗證時的順序一致,這2條策略其實是一條,刪除任何一條是另一條也會自動刪除。
條目2對應的命令爲:
object service WWW service tcp source range 1 65535 destination eq www
object network DMZ_172.16.10.200 host 172.16.10.200
object network Public_100.100.100.252 host 100.100.100.252
nat (outside,DMZ) source static any any destination static Public_100.100.100.252 DMZ_172.16.10.200 service WWW WWW
