ASA 上的 NAT的先后顺序:
interface Ethernet0/0
nameif outside
security-level 0
ip address 218.5.165.202 255.255.255.248
!
global (outside) 10 interface
nat (inside) 10 0.0.0.0 0.0.0.0
static (inside,outside) tcp 218.5.165.203 www 192.168.10.16 www netmask 255.255.255.255
static (inside,outside) tcp 218.4.165.203 ftp 192.168.10.16 ftp netmask 255.255.255.255
那么 后面这两个命令端口映射的可以生效么?可以使内部的这个机器访问出去的公网IP是218.5.165.203么?
不全是的,但是 从内网的这两个机器 192.168.10.16 出去的数据就还是选择以前的dynamic NAT了。 因为这个是单向的。只能是匹配从外面到里面的访问
解放方法:
第一种:
static (inside,outside) 218.5.165.203 192.168.10.16
这个是双向的,不管是从内到外,还是从外到内都可以执行
第二种:
nat (inside) 6 
192.168.10.16 255.255.255.255
global (outside) 6 218.5.165.203
总结:
ASA上的NAT是有先后顺序和方向的,应该显示 static的 然后在是dynamic的;但是基于static的端口的是有限制的,不是双向的
本文转自 zhangfang526 51CTO博客,原文链接:http://blog.51cto.com/zhangfang526/1884760
