思科網路對象 NAT 獲取 Internet?
所以我繼承了 Cisco ASA 5505,我對這些東西沒有任何經驗!有兩個面向 WAN 的網路介面,當然還有 LAN 介面。現在在 NAT 規則中,有兩個規則:
Match Criteria: Original Packet Action Translated Packet: SourceInt DesInt Source Destination Service Source Destination Service 3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original 4 inside Outside-ISP2 obj_Any2 any any Outside-ISP2 original original
如果我刪除了這些 NAT 中的任何一個,則沒有人可以在我刪除了 NAT 規則的所述介面上訪問 LAN 之外的任何內容。這條規則在做什麼?
不想听起來光顧,您應該驗證您對NAT的了解;
LAN 上的客戶端可能具有無法通過 Internet 路由的私有 IP 地址(來自RFC1918)。這兩個 WAN 介面也可能具有從它們連接的兩個 ISP 分配的公共可路由 IP 地址。
當 LAN 上的主機連接到 Internet 上的主機(例如 Web 伺服器)時,它會向 ASA 發出請求,ASA 會將請求傳遞給遠端 Internet 主機,但會在網路中轉換 LAN 主機的 IP 地址。請求,發送到其公共 IP 地址之一。如果 ASA 通過第一個 WAN 介面發送請求,則 ASA 會將請求的源 IP 更改為第一個 WAN 介面分配的 IP;
Action Translated Packet: Source: Outside-ISP1
如果請求是通過第二個 WAN 介面發送的,它使用另一個規則,
Outside-ISP2
並且請求被修改為使用第二個 WAN 介面的源 IP,而不是 LAN 的內部私有 IP 地址。如果您放棄這些 NAT 規則中的任何一個,LAN 主機地址不會轉換為公共可路由地址,並且請求會發送到網站並且不會得到答复,因為網站無法與私有 IP 上的主機進行通信地址,它不知道它在哪裡,也不知道如何通過 Internet 到達那裡。
由於兩條規則看似相同,因此僅查看第一個規則:
SourceInt DesInt Source Destination Service Source Destination Service 3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original
這條規則是說“進入被呼叫介面
inside
(可能是 LAN 介面)的任何流量,其目的地是被呼叫介面Outside-ISP1
(可能是第一個 WAN 介面,也將去那裡可能是因為 ASA 上的預設路由),它來自與那些obj_Any
(可能與任何內部 LAN 主機 IP)匹配的源 IP,希望到達 aDestination
ofany
並通過 aService
ofany
;將其源 IP 更改為Outside-ISP1
(IP WAN1 介面),Destination
左邊原樣,Service
左邊原樣。這些基於目標和服務匹配流量的額外選項可用於其他類型的 NAT 規則,例如埠重定向或基於策略的路由。