|
自從CISCO ASA5500X系列防火牆出來以後,關於NAT和VPN就有著相當大的改變,關於這兩點本人一直有一些疑惑,希望大蝦們給予幫助: 1、CISCO ASA8.4之前版本在NAT方面有NO NAT技術,可以通過ACL單個針對源目的地址做NAT豁免,特別是在做了PAT以后,要對某些地址訪問某些地址不用NAT,NO NAT就很方便; 2、CISCO ASA8.4以后將NAT 0 (NO NAT)取消,而且是通過自己映射自己的方式來實現NAT豁免,這讓我很不解為什麽要這樣做。例如用戶這樣做了以后:nat (inside,outside) source static web-vpn web-vpn,那他訪問所有不就都走NO NAT了嗎?而如果有這樣一個需求:訪問張三用NAT出去,訪問李四用NO NAT。在ASA8.4之前的版本用NAT 0結合ACL定義就很方便可以實現,在新版本中該如何實現呢? 3、NAT靜態映射問題: 在老版本中,用static映射,一條命令一個很方便。static (inside,office) 192.168.1.10 10.195.1.10 netmask 255.255.255.255 3.1我遇到過這樣一個需求:有一千多個地址需要靜態映射,我用static結合excel篩選花了一個上午的時間“導入”到ASA5520搞定了; 3.2可是現在要換成ASA5512做同樣的事情。大家知道ASA8.4以后,靜態NAT需要這樣做: object network abc host 192.168.1.10 nat (inside,outside) static 10.195.1.10 或者創建兩個object: object network abc host 192.168.1.10 object network abcd host 10.195.1.10 nat (inside,outside) source static abc abcd 大家看,同樣的一個需求,之前一條命令可以搞定的,現在得弄得這么麻煩。幾條也就無所謂了,那我現在有上千條需要這樣做,創建上千個object嗎?4、NAT和VPN結合的問題: 這是一個目前我還沒有解決的問題,我在一臺ASA5512是給用戶上網的,上網方式採用PAT,nat (inside,outside) source dynamic any interface,當然用戶現在已經可以正常上網了。現在呢,我想在這個基礎上(不影響現有用戶上網)做一個SSL VPN用于連接到內網。 4.1首先聲明我已經這樣做了,SSL VPN撥號可以連接上并獲得分配的地址,但無法和內網互通!!! 4.2我想這應該是在NAT上面出了問題了,雖然VPN能連上,但NAT沒有解決,所以無法互通。那NAT方面需要做NO NAT咯?那怎樣實現類似NAT 0這樣的一個功能呢?那具體該如何做呢?希望有興趣的大蝦幫忙解答并出招啊,期待中,謝謝!!!
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2013-8-17 19:55:24
置顶卡
喧嚣卡
变色卡
千斤顶
楼主
