关于思科ASA5505防火墙的NAT问题

honghu661

组网如下图

                               
登录/注册后可看大图

疑惑问题如下：

PC0去pingPC1的时候，数据包丢到ASA5505的 F0/1接口后 由于存在 nat（inside,outsid）所以进行了源转换；

数据包源成了 10.10.10.10 目的还是PC1，然后再从ASA丢到PC1。

PC1进行回复，源是自己 目的是10.10.10.10，这时候是发到网关；

然后这时，网关（在ASA上）收到PC的这个回复包，解下来该如何进行转发，顺序是什么？

这时候ASA上面有条路由：route inside 10.10.10.10 255.255.255.255 192.140.253.242 ，但好像数据包从网关发不出来了。

看转发的时候好像是没有匹配路由。

后续我修改了路由为：route inside 192.120.76.0 255.255.255.0 192.140.253.242，这时候PC0正常收到PC1的回复。

大神们我想问下，ASA防火墙上 我配置了关于NAT部分的配置如下：

access-list outside_acl_in extended permit icmp any any

access-list inside_acl_in extended permit icmp any any

!

access-group inside_acl_in in interface inside

access-group outside_acl_in in interface outside

！

object network host_NAT_IP

nat (inside,outside) static 10.10.10.10

我想问的是，PC1的回复包 从网关(ASA上)发出去的时候 没经过F0/1（inside）接口前，就已经进行了NAT转换吗？然后才进行路由吗？

正常不应该是回复的包 经过路由 找到下一跳后，经过F0/1接口 这时候才会去匹配之前的 NAT会话表项 来进行转换吗？

麻烦用过思科设备的大神解答一下，小白疑惑不解，感谢大家！！

云中漫步

在 ASA 上，NAT 和路由是两个独立的功能。在 ASA 上，路由会先于 NAT 转换发生。

当 ASA 收到 PC1 的回复数据包时，会先将其进行路由转发。ASA 会查看其路由表，看看是否有一条路由可以将数据包转发到目的地（即 PC0）。如果有，则 ASA 会将数据包转发到目的地。

在这个过程中，NAT 转换并不会发生。直到数据包进入 ASA 的内部接口（inside）时，NAT 转换才会发生。在这种情况下，ASA 会将数据包的源地址替换为配置的静态 NAT 地址（10.10.10.10），然后再将数据包发送到 PC0。

综上所述，PC1 的回复数据包在经过 ASA 之前是不会进行 NAT 转换的。它先进行路由转发，然后再进行 NAT 转换。

云中漫步

确认NAT规则是否正确配置。在Cisco ASA 5505上配置NAT规则时，需要注意源地址、目标地址和映射地址之间的对应关系。

检查防火墙设备的连接状态。确保防火墙设备的网络连接正常，并且内部网络和外部网络之间的连接是可用的。

检查访问外部网络的设备是否存在网络连接问题。如果访问外部网络的设备存在网络连接问题，可能会导致NAT功能无法正常使用。

尝试重启防火墙设备。如果防火墙设备出现异常，重启设备可能会解决NAT问题。

天边那片猫

ASA上需要NAT IP 和实际IP的两条路由。只有nat ip 10.10.10.10 的路由是不够的。 可以参考思科文档的包处理流程。https://learningnetwork.cisco.co ... cessing-algorithm-x

tony2014

思考asa巨难用

猪头笑哈哈

1. ASA是基于状态的防火墙，收到的回包首先检查session表，匹配了以后就往下转发，先做NAT，再做路由，不会检查 接口ACL的，所以你outside 的ACL放行的icmp没起作用。
2. 根据拓扑和你的配置看，你inside 到outside NAT了一个和Outside 不是一个网段的IP，是10.10.10.10 。那么当PC1收到来自１０．１０．１０．１０的访问，ＰＣ的网关配置是正常的吗？如果正常，那是没有问题的。
所以我觉得你这是路由的问题

my282709305@163

好的谢谢