Cisco Cisco ASA 5555-X Adaptive Security Appliance Anleitung Für Quick Setup
4-28
思科 ASA 系列防火墙 CLI 配置指南
第 4 章 网络地址转换 (NAT)
面向 VPN 的 NAT
请参阅以下用于 ASA2(圣荷西)的 NAT 配置示例:
!Identify inside San Jose network, & perform object interface PAT when going to Internet:
object network sanjose_inside
subnet 10.2.2.0 255.255.255.0
nat (inside,outside) dynamic interface
!Identify inside Boulder network for use in twice NAT rule:
object network boulder_inside
subnet 10.1.1.0 255.255.255.0
!Identify local VPN network for use in twice NAT rule:
object network vpn_local
subnet 10.3.3.0 255.255.255.0
!Use twice NAT to pass traffic between the San Jose network and Boulder without
!address translation (identity NAT):
nat (inside,outside) source static sanjose_inside sanjose_inside destination static
boulder_inside boulder_inside
!Use twice NAT to pass traffic between the San Jose network and the VPN client without
!address translation (identity NAT):
nat (inside,outside) source static sanjose_inside sanjose_inside destination static
vpn_local vpn_local
NAT 和 VPN 管理访问
使用 VPN 时,您可以对进入 ASA(请参阅管理访问命令)所通过的接口以外的接口进行管理访
问。例如,如果您从外部接口进入 ASA,管理访问功能可以让您使用 ASDM、SSH、Telnet 或
SNMP 连接到内部接口;或者您可以 ping 内部接口。
问。例如,如果您从外部接口进入 ASA,管理访问功能可以让您使用 ASDM、SSH、Telnet 或
SNMP 连接到内部接口;或者您可以 ping 内部接口。
下图显示通过 Telnet 连接到 ASA 内部接口的 VPN 客户端。当您使用管理访问接口,并且根据
或
配置身份标识
NAT 时,必须为 NAT 配置路由查询选项。如果没有路由查询,ASA 会将流量向外发送到在
NAT 命令中指定的接口,无论路由表显示什么;在以下示例中,出口接口为内部接口。您不希
望 ASA 将管理流量向外发送到内部网络;它永远不会返回到内部接口 IP 地址。路由查询选项
可以让 ASA 将流量直接发送到内部接口 IP 地址,而不是内部网络。对于从 VPN 客户端到内部
网络上的主机的流量,路由查询选项仍将导致正确的出口接口(内部),因此,正常业务流不
会受到影响。有关路由查询选项的详细信息,请参阅
NAT 命令中指定的接口,无论路由表显示什么;在以下示例中,出口接口为内部接口。您不希
望 ASA 将管理流量向外发送到内部网络;它永远不会返回到内部接口 IP 地址。路由查询选项
可以让 ASA 将流量直接发送到内部接口 IP 地址,而不是内部网络。对于从 VPN 客户端到内部
网络上的主机的流量,路由查询选项仍将导致正确的出口接口(内部),因此,正常业务流不
会受到影响。有关路由查询选项的详细信息,请参阅