思科網路對象 NAT 獲取 Internet？

所以我繼承了 Cisco ASA 5505，我對這些東西沒有任何經驗！有兩個面向 WAN 的網路介面，當然還有 LAN 介面。現在在 NAT 規則中，有兩個規則：

Match Criteria: Original Packet                           Action Translated Packet: 
 SourceInt  DesInt        Source  Destination  Service   Source       Destination Service        
3  inside    Outside-ISP1  obj_Any    any        any      Outside-ISP1   original    original
4  inside    Outside-ISP2  obj_Any2   any        any      Outside-ISP2   original    original

如果我刪除了這些 NAT 中的任何一個，則沒有人可以在我刪除了 NAT 規則的所述介面上訪問 LAN 之外的任何內容。這條規則在做什麼？

不想听起來光顧，您應該驗證您對NAT的了解；

LAN 上的客戶端可能具有無法通過 Internet 路由的私有 IP 地址（來自RFC1918）。這兩個 WAN 介面也可能具有從它們連接的兩個 ISP 分配的公共可路由 IP 地址。

當 LAN 上的主機連接到 Internet 上的主機（例如 Web 伺服器）時，它會向 ASA 發出請求，ASA 會將請求傳遞給遠端 Internet 主機，但會在網路中轉換 LAN 主機的 IP 地址。請求，發送到其公共 IP 地址之一。如果 ASA 通過第一個 WAN 介面發送請求，則 ASA 會將請求的源 IP 更改為第一個 WAN 介面分配的 IP；

Action Translated Packet: 
Source:
Outside-ISP1

如果請求是通過第二個 WAN 介面發送的，它使用另一個規則，Outside-ISP2並且請求被修改為使用第二個 WAN 介面的源 IP，而不是 LAN 的內部私有 IP 地址。

如果您放棄這些 NAT 規則中的任何一個，LAN 主機地址不會轉換為公共可路由地址，並且請求會發送到網站並且不會得到答复，因為網站無法與私有 IP 上的主機進行通信地址，它不知道它在哪裡，也不知道如何通過 Internet 到達那裡。

由於兩條規則看似相同，因此僅查看第一個規則：

 SourceInt  DesInt        Source  Destination  Service   Source       Destination Service        
3  inside    Outside-ISP1  obj_Any    any        any      Outside-ISP1   original    original

這條規則是說“進入被呼叫介面inside（可能是 LAN 介面）的任何流量，其目的地是被呼叫介面Outside-ISP1（可能是第一個 WAN 介面，也將去那裡可能是因為 ASA 上的預設路由），它來自與那些obj_Any（可能與任何內部 LAN 主機 IP）匹配的源 IP，希望到達 a Destinationofany並通過 a Serviceof any；將其源 IP 更改為Outside-ISP1（IP WAN1 介面），Destination左邊原樣，Service左邊原樣。

這些基於目標和服務匹配流量的額外選項可用於其他類型的 NAT 規則，例如埠重定向或基於策略的路由。

引用自：https://serverfault.com/questions/517055