如何在 Cisco ASA 防火墙中为连接到第 3 层交换机的所有 VLAN 配置 NAT?

网络工程 局域网 思科-ASA 纳特 防火墙 数据包跟踪器
2022-03-05 19:42:12

拓扑: 在此处输入图像描述

当网络中有 VLAN 时,如何在 Cisco ASA 防火墙(在 Packet Tracer 中)设置 NAT?

在当前方法中,NAT 无法从任何 VLAN 到达服务器 (8.8.8.8)。

如果我从第 3 层交换机 (172.168.0.1) ping 通,它就可以工作。

*注意:当使用路由器而不是 ASA 防火墙时,我能够在其中设置 NAT,但我是第一次使用 ASA 防火墙。

当前配置:

interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
 switchport access vlan 3
!
interface Vlan2
 nameif inside
 security-level 100
 ip address 172.16.0.2 255.255.0.0
!
interface Vlan3
 nameif outside
 security-level 0
 ip address 51.1.1.1 255.0.0.0
!
object network LAN
 subnet 172.16.0.0 255.255.0.0
!
route outside 0.0.0.0 0.0.0.0 51.1.1.2 1
!
access-list local-to-internet extended permit tcp any any
access-list local-to-internet extended permit icmp any any
!
!
access-group local-to-internet in interface outside
object network LAN
 nat (inside,outside) dynamic interface

下载 .pkt 文件:https ://drive.google.com/file/d/1dzZFb9S9S83wmQjTWAa2EBoxiwsV7GHg/view?usp=sharing

1个回答

在您的情况下,它不仅是 NAT,而且还有路由。对于 NAT,这应该这样做:

nat (inside,outside) after-auto source dynamic any interface

对于路由,您需要将“内部”网络路由到您的内部路由器:

route inside 192.168.10.0 255.255.255.0 172.16.0.1
route inside 192.168.20.0 255.255.255.0 172.16.0.1
route inside 192.168.30.0 255.255.255.0 172.16.0.1
etc.

如果没有这个,vlan 1、10、20、30、40、50...的所有子网都将通过默认路由(到外部接口),因为没有指定其他路由。PS:路由器/交换机

其它你可能感兴趣的问题
上一篇不同网络中主机的 wifi 帧中的目标地址 下一篇光纤到计算机(中间不使用任何其他电缆)是否可能?是否有任何进一步的发展正在朝着这个目标进行?