关于Cisco ASDM中配置STATIC NAT顺序的问题
在使用ASDM配置外网到内网的STATIC NAT时需要注意其配置的顺序,否则配置的该NAT策略不会生效,具体参看下图,测试结论在文末说明。
上图中的NAT配置只有三条,先配置了内网到外网的NAT(1),再配置了DMZ到外网的NAT(2),最后配置了外网到DMZ的NAT(3)。以上NAT配置后,测试内网到外网,DMZ到外网的的连通性均正常,只有DMZ映射出去的www服务在外网无法测试访问(排除outside ACL和路由问题,已放行)。在外网测试结果如下,无法联通。接下来将外网到DMZ的映射条目调整到最上方,应用后再测试,可以正常访问。为了进一步验证其顺序,继续将该NAT条目下移并应用,测试正常。再次移动到初始位置,测试不通过。
测试验证结论:当先配置DMZ到outside的dynamic NAT后,再配置DMZ 的Static NAT时,其顺序必须再对于dynamic NAT之前,与其他端口以及方向的NAT条目没有关系。
问题之外:上述关于DMZ内,外网NAT的配置时单独配置的2条策略,通常DMZ都是会用来对外提供服务的,所以对外NAT映射时必不可少的,这里用ASDM直接对DMZ的内网映射一次性配置,就可避免上述顺序问题。采用STATIC NAT的方式配置外网到DMZ的NAT映射,完成后生产的策略条目如下:条目2即为配置完成后的策略,请注意这里的条目2包含2条NAT策略,可以看出在配置外网到DMZ的NAT的同时其下方就会生成一条DMZ到外网对于的NAT策略,这个顺序和前面问题验证时的顺序一致,这2条策略其实是一条,删除任何一条是另一条也会自动删除。条目2对应的命令为:object service WWW service tcp source range 1 65535 destination eq wwwobject network DMZ_172.16.10.200 host 172.16.10.200object network Public_100.100.100.252 host 100.100.100.252nat (outside,DMZ) source static any any destination static Public_100.100.100.252 DMZ_172.16.10.200 service WWW WWW