NAT Um a Um Estático Cisco ASA 5510

Navegue suas respostas
1

Estou tentando usar o Static NAT no Cisco ASA 5510, mas apenas um IP está entrando na rede. Alguém pode por favor apontar o meu erro. Eu li muito no Google / Cisco, mas não consegui descobrir isso. Aqui estão minhas configurações; 

ciscoasa# show running-config
: Saved
:
ASA Version 8.4(5)
!
hostname ciscoasa
names
!
interface Ethernet0/0
 shutdown
 nameif ISP1
 security-level 0
 ip address 50.100.150.200 255.255.255.248
!
interface Ethernet0/1
 nameif ISP2
 security-level 0
 ip address 40.80.120.160 255.255.255.240
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 192.168.10.10 255.255.252.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 0
 ip address 10.10.10.10 255.255.255.0
 management-only
!
ftp mode passive
clock timezone GMT 0
dns domain-lookup ISP1
dns domain-lookup ISP2
object network ISP1
 subnet 192.168.8.0 255.255.252.0
object network ISP2
 subnet 192.168.8.0 255.255.252.0
object network Server_10.51
 host 192.168.10.51
object network Public_120.161
 host 40.80.120.161
object network Server_10.23
 host 192.168.10.23
object network Public_120.162
 host 40.80.120.162
access-list outside_access_in extended permit tcp any object Server_10.51
access-list outside_access_in extended permit icmp any object Server_10.51 echo
access-list outside_access_in extended permit tcp any object Server_10.23
access-list outside_access_in extended permit icmp any object Server_10.23 echo
no pager
logging enable
logging asdm informational
mtu ISP1 1500
mtu ISP2 1500
mtu inside 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit 192.168.8.0 255.255.252.0 inside
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network ISP1
 nat (inside,ISP1) dynamic interface
object network ISP2
 nat (inside,ISP2) dynamic interface
object network Server_10.51
 nat (inside,ISP2) static Public_75.35 dns
object network Server_10.23
 nat (inside,ISP2) static Public_75.36 dns
access-group outside_access_in in interface ISP2
route ISP1 0.0.0.0 0.0.0.0 50.100.150.201 1 track 1
route ISP2 0.0.0.0 0.0.0.0 40.80.120.161 254
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 10.10.10.0 255.255.255.0 management
http 192.168.8.0 255.255.252.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
sla monitor 55
 type echo protocol ipIcmpEcho 8.8.8.8 interface ISP1
 num-packets 3
 frequency 10
sla monitor schedule 55 life forever start-time now
!
track 1 rtr 55 reachability
telnet 192.168.8.0 255.255.252.0 inside
telnet timeout 5
ssh 192.168.8.0 255.255.252.0 inside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
vpn-addr-assign local reuse-delay 30
dhcpd address 10.10.10.11-10.10.10.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:bbd2c8104910bfa4e9b215125b9cb3f9
: end
    
por Rizwan Ranjha 08.04.2017 / 06:12

1 resposta

0

Seus NATs dinâmicos (veja abaixo) estão tomando precedência sobre seus NATs estáticos

NAT DINÂMICOS 

object network ISP1
 nat (inside,ISP1) dynamic interface
object network ISP2
 nat (inside,ISP2) dynamic interface

NAT ESTÁTICOS 

object network Server_10.51
 nat (inside,ISP2) static Public_75.35 dns
object network Server_10.23
 nat (inside,ISP2) static Public_75.36 dns

NATs são processados no pedido ou Section 1 > > Section 2 > > %código%. Recomenda-se que uma Secção 3 pós-auto NAT é usado para a política de NAT de propósito geral. NATs mais específicos devem ser configurados como Seção 1 Manual NAT .

OUTRAS NOTAS

  • Section 3 e ip address 50.100.150.200 255.255.255.248 são más máscaras. Os ASAs não permitem o uso de um ID de sub-rede a ser atribuído como um endereço de interface. Outros IOSs da Cisco permitem que a ID de sub-rede e os endereços de transmissão sejam atribuídos por meio do uso do comando sub-zero ip

  • ip address 40.80.120.160 255.255.255.240 é desligamento . O tráfego não poderá alcançar nenhum host na rede 50.100.150.200/29.

  • interface Ethernet0/0 é uma rede / 22 . Gostaria de verificar para certificar-se de que cada um dos seus hosts de teste internos tem uma máscara de "255.255.252.0" com um gateway válido que corresponde ao endereço de interface de Ethernet0 / 2 .

  • Seus NATs estáticos permitem somente que o serviço de DNS seja traduzido. Eu removeria interface Ethernet0/2 da configuração NAT estática para fins de solução de problemas.

COMANDOS DE RESOLUÇÃO DE PROBLEMAS RECOMENDADOS

Use o comando debug com cuidado. 

show xlate detail
show nat detail
debug nat 255

DOCUMENTOS ADICIONAIS DE SUPORTE

Solução de problemas de configuração de conversão de endereços de rede ASA

NAT CONFIGURAÇÃO SOBRE ASA 8.4+

    
por 03.10.2017 / 00:19

Tags

Erro ao instalar o openvswicth Restringe poucos comandos para usuários na autenticação baseada em chave SSH?