juyao 发表于 2014-6-12 09:55
目前ASA上还没有实现策略路由的特性。策略NAT不能替代策略性路由，由于策略NAT是根据一定的条件（如扩展访 ...

我这里的实现方式都是写明细路由来实现的，大概在600条左右。。有写好的配置。 刷的时候痛苦一点。。。

juyao 发表于 2014-6-12 09:46
如果将系统日志或者buffer的日志设置成为informational, 是可以看到这个客户端访问了外部哪些地址的。日志 ...

您好，老师，按照您的方法可以了，但是我还有个问题，在日志里面只可以看到outside的ip，能不能设置可以看到网址？

kldcjadele 发表于 2014-6-11 17:48
还有个问题，状态化表项优于路由表。这样是不是说，对外提供服务的web服务器，即使没有做任何操作，也不会 ...

web server A ( translated ip address A1)------ASA-------------outside host B , 通常这种提供服务的服务器做的都是静态NAT，如A翻译成A1（inside到outside)，当外部主机访问A1时，只要这个包能够到达ASA的外口，由于这时静态翻译列表的出口为inside口,如果这时A地址所在的网段在路由表中也位于inside口的话，（一般来说没有问题，除非出现了路由动荡或者漂移），那么这个数据包就可以通过outside口转发到inside口，正常到达web服务器，当然web服务器的回报也应该通过路由正常地到达asa的inside口，然后再做地址转换。
（如果配置了动态路由协议，而又发生路由波动时，可能导致静态翻译表项的出口和实际波动后的路由的出口不一致的情况，这样包会被丢掉，并看到"Routing failed to locate next hop "这样的报错。

Q ：您好，老师，按照您的方法可以了，但是我还有个问题，在日志里面只可以看到outside的ip，能不能设置可以看到网址？
A：日志中无法看到访问的url，目前asa的日志功能无法做到这一点。

:D燃烧起来吧

david_liang 发表于 2014-6-12 14:03
您好，老师，按照您的方法可以了，但是我还有个问题，在日志里面只可以看到outside的ip，能不能设置可以看 ...

日志中无法看到访问的url，目前asa的日志功能无法做到这一点。

juyao 发表于 2014-6-13 14:29
日志中无法看到访问的url，目前asa的日志功能无法做到这一点。

您好，我google发现在Cisco的网站有方法，按照此方法可以在日志看到url.
https://supportforums.cisco.com/discussion/10778111/asa-url-logging
-------------------------------------------------------------------------------------------------
regex matchall "."
!
class-map type regex match-any DomainLogList
match regex matchall
class-map type inspect http match-all LogDomainsClass
match request header host regex class DomainLogList
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect http http_inspection_policy
parameters
class LogDomainsClass
log
--------------------------------------------------------------------------------

david_liang 发表于 2014-6-13 16:46
您好，我google发现在Cisco的网站有方法，按照此方法可以在日志看到url.
https://supportforums.cisco.c ...

谢谢分享，找到方法啦！