https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365698#M6752 做PAT，就可以只用一个公网地址 Fri, 31 Jul 2020 05:58:12 GMT Andy Yuan1993 2020-07-31T05:58:12Z https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365692#M6746 最近工作室有一套应用打算出外网，在出外网前，我用模拟器模拟了一下这个结构，但遇到了一个让我头大的问题。<span class="lia-inline-image-display-wrapper" image-alt="171538w9s7ta0wyaoi9of7.jpg"><img src="https://community.cisco.com/t5/image/serverpage/image-id/116289i99916888FDE7FAF1/image-size/large?v=v2&amp;px=999" role="button" title="171538w9s7ta0wyaoi9of7.jpg" alt="171538w9s7ta0wyaoi9of7.jpg" /></span><BR />我有一台服务器，在内网，假设地址是172.16.30.15。在出外网的路上，有一台ASA防火墙，用来做静态NAT。我现在想在外网访问这台服务器，那么在我的设想下是，我找运营商买到了一个公网IP，假设是72.6.6.15，然后我通过访问72.6.6.15，就可以访问到我内网地址是172.16.30.15的服务器。<BR />那么我所纠结的问题就是，在ASA防火墙上，端口IP要怎么配？inside口上配172.16.30.0网段的地址，这个没问题，但outside口呢？是配上运营商给我的公网地址72.6.6.15吗？我在模拟的时候，如果outside口配上这个地址，再配nat就报错了。<BR />或者说，是不是我需要找运营商买2个同网段的公网IP？一个IP用来定位我的服务器，另一个IP用来配置在我防火墙的outside口上？<BR />我原本想的是，运营商给我的公网IP线路，假设我直接插在一台PC上，在这台PC上配好这个公网IP，然后还有掩码、网关、DNS之类，我这台PC就可以正常上网了。我之前没买过公网IP，不知道是不是这样的。<BR />上边表述可能有点乱，不知道有没有了解这一块事情的大大，可以不吝赐教？感谢感谢<BR /> Wed, 13 May 2020 09:39:35 GMT https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365692#M6746 Mingjia Zhang 2020-05-13T09:39:35Z https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365693#M6747 <I> 本帖最后由 碧云天 于 2020-5-13 22:10 编辑 </I><BR />NAT有多种，不外乎两类，一类是基于源地址转换，一类是基于目标地址进行转换，你这个应用如果是对外提供服务，并且服务的端口是固定的，那么可以使用静态端口PAT,只要需要映射的端口在防火墙公网接口没有在使用，就可以只申请一个固定公网地址即可。当然，如果比较土豪，也可以专门申请一个公网IP给这个应用使用，配置静态一对一的NAT。 Wed, 13 May 2020 14:07:58 GMT https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365693#M6747 碧云天 2020-05-13T14:07:58Z https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365694#M6748 楼主的疑惑点，都是在公网IP怎么和出口防火墙进行关联，其实不用担心，无论经过什么设备，最终要转换成以太网线接到防火墙上的，对应接口下配IP就行了 Thu, 14 May 2020 00:36:56 GMT https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365694#M6748 YilinChen 2020-05-14T00:36:56Z https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365695#M6749 <BLOCKQUOTE><FONT size="2"><A href="https://community.cisco.com/forum.php?mod=redirect&amp;goto=findpost&amp;pid=1047159&amp;ptid=990981" target="_blank"><FONT color="#999999">YilinChen 发表于 2020-5-14 08:36</FONT></A></FONT><BR />楼主的疑惑点，都是在公网IP怎么和出口防火墙进行关联，其实不用担心，无论经过什么设备，最终要转换成以太 ...</BLOCKQUOTE><BR />就是说公网IP可以直接配置在防火墙的outside口上？其实我在用packet tracer里的5505和5506-X模拟的时候，也是这么配的，然后在配置nat （inside，outside） static “outside口IP”，模拟器也没有报ERROR，但是我有一台ASA5510的真机，也按照这样配的时候，就给我报了2个ERROR，一个是“ERROR: Address “outside口IP” overlaps with outside interface address.”，另一个是“ERROR: NAT Policy is not downloaded”，这就让我很蒙圈了 Thu, 14 May 2020 02:45:17 GMT https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365695#M6749 Mingjia Zhang 2020-05-14T02:45:17Z https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365696#M6750 <BLOCKQUOTE><FONT size="2"><A href="https://community.cisco.com/forum.php?mod=redirect&amp;goto=findpost&amp;pid=1047162&amp;ptid=990981" target="_blank"><FONT color="#999999">SD_ZHANGMJ 发表于 2020-5-14 10:45</FONT></A></FONT><BR />就是说公网IP可以直接配置在防火墙的outside口上？其实我在用packet tracer里的5505和5506-X模拟的时候， ...</BLOCKQUOTE><BR />真机的OUTSIDE口已经配了IP呀，如果要在同一个接口下配第二IP，要看这个接口下能不能配secondary IP；<BR />第二个ERROR是第一个ERROR延伸出来的问题，第一个问题得先解决 ，然后要看你是想做端口映射，还是要做1对1的NAT；<BR />同时要注意 TWICE-NAT的问题，这时候也要看防火墙的OS版本 Thu, 14 May 2020 08:24:50 GMT https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365696#M6750 YilinChen 2020-05-14T08:24:50Z https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365697#M6751 1、真实设备OUTSIDE接口可以配置公网IP，通过NAT可以将内部的服务器对应的IP及端口进行相应的映射<BR />2、建议可以考虑内部服务器访问外部通过OUTSIDE IP 做PAT<BR />3、对外映射服务，采用新的公网IP Sat, 23 May 2020 08:08:49 GMT https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365697#M6751 eric888888 2020-05-23T08:08:49Z https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365698#M6752 做PAT，就可以只用一个公网地址 Fri, 31 Jul 2020 05:58:12 GMT https://community.cisco.com/t5/%E5%AE%89%E5%85%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%85%B3%E4%BA%8Easa%E9%98%B2%E7%81%AB%E5%A2%99%E5%85%AC%E7%BD%91ip%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E9%97%AE%E9%A2%98/m-p/4365698#M6752 Andy Yuan1993 2020-07-31T05:58:12Z