ASA 上的 NAT的先後順序:
interface Ethernet0/0
nameif outside
security-level 0
ip address 218.5.165.202 255.255.255.248
!
global (outside) 10 interface
nat (inside) 10 0.0.0.0 0.0.0.0
static (inside,outside) tcp 218.5.165.203 www 192.168.10.16 www netmask 255.255.255.255
static (inside,outside) tcp 218.4.165.203 ftp 192.168.10.16 ftp netmask 255.255.255.255
那麼 後面這兩個指令端口映射的可以生效麼?可以使内部的這個機器通路出去的公網IP是218.5.165.203麼?
不全是的,但是 從内網的這兩個機器 192.168.10.16 出去的資料就還是選擇以前的dynamic NAT了。 因為這個是單向的。隻能是比對從外面到裡面的通路
解放方法:
第一種:
static (inside,outside) 218.5.165.203 192.168.10.16
這個是雙向的,不管是從内到外,還是從外到内都可以執行
第二種:
nat (inside) 6 192.168.10.16 255.255.255.255
global (outside) 6 218.5.165.203
總結:
ASA上的NAT是有先後順序和方向的,應該顯示 static的 然後在是dynamic的;但是基于static的端口的是有限制的,不是雙向的
本文轉自 zhangfang526 51CTO部落格,原文連結:http://blog.51cto.com/zhangfang526/1884760