购买或续订
购买或续订
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
8639
查看次数
0
有帮助
5
回复

ASA除接口地址外均无法配置内网端口映射

查看解答
weiyong wu
Level 1
Level 1

发布时间 ‎02-01-2016 06:38 PM


sho ver
Cisco Adaptive Security Appliance Software Version 9.1(6)10
Device Manager Version 7.5(2)
Compiled on Fri 11-Sep-15 16:44 PDT by builders
System image file is "disk0:/asa916-10-smp-k8.bin"
Config file at boot was "startup-config"
ASA5512 up 9 days 1 hour
Hardware: ASA5512, 4096 MB RAM, CPU Clarkdale 2793 MHz, 1 CPU (2 cores)
ASA: 2048 MB RAM, 1 CPU (1 core)
Internal ATA Compact Flash, 4096MB
BIOS Flash MX25L6445E @ 0xffbb0000, 8192KB
Encryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x1)
Boot microcode : CNPx-MC-BOOT-2.00
SSL/IKE microcode : CNPx-MC-SSL-PLUS-0020-B1
IPSec microcode : CNPx-MC-IPSEC-MAIN-0026
Number of accelerators: 1
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4
0: Int: Internal-Data0/0 : address is 64f6.9dc2.e1a2, irq 11
1: Ext: GigabitEthernet0/0 : address is 64f6.9dc2.e1a6, irq 10
2: Ext: GigabitEthernet0/1 : address is 64f6.9dc2.e1a3, irq 10
3: Ext: GigabitEthernet0/2 : address is 64f6.9dc2.e1a7, irq 5
4: Ext: GigabitEthernet0/3 : address is 64f6.9dc2.e1a4, irq 5
5: Ext: GigabitEthernet0/4 : address is 64f6.9dc2.e1a8, irq 10
6: Ext: GigabitEthernet0/5 : address is 64f6.9dc2.e1a5, irq 10
7: Int: Internal-Data0/1 : address is 0000.0001.0002, irq 0
8: Int: Internal-Control0/0 : address is 0000.0001.0001, irq 0
9: Int: Internal-Data0/2 : address is 0000.0001.0003, irq 0
10: Ext: Management0/0 : address is 64f6.9dc2.e1a2, irq 0
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 50 perpetual
Inside Hosts : Unlimited perpetual
Failover : Disabled perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 0 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Disabled perpetual
This platform has a Base license.
ASA除接口地址外均无法配置端口映射,这是为什么?
大致配置如下
!
interface GigabitEthernet0/0
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/2
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
no nameif
no security-level
no ip address
!
interface Redundant1
member-interface GigabitEthernet0/0
member-interface GigabitEthernet0/1
nameif outside
security-level 0
ip address public-ip1 255.255.255.248
!
interface Redundant2
member-interface GigabitEthernet0/2
member-interface GigabitEthernet0/3
nameif inside
security-level 100
ip address pravite1 255.255.255.252
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
object network TO-INTERNET
subnet 192.168.0.0 255.255.0.0
object network test
host 192.168.0.1
!
access-list acl extended permit ip any any
access-list acl extended permit tcp any any
access-list acl extended permit icmp any any
access-list acl extended permit udp any any
!
icmp permit any outside
icmp permit any inside
!
object network TO-INTERNET
nat (inside,outside) dynamic interface
object network test
nat (inside,outside) static public-ip3
!
access-group acl in interface outside
access-group acl in interface inside
route outside 0.0.0.0 0.0.0.0 public-ip2
route inside 192.168.0.0 255.255.0.0 pravite2
!
如果将
object network test
nat (inside,outside) static public-ip3
改为
object network test
nat (inside,outside) static interface service tcp xxx xxx
映射是通的
标签:
0 有帮助
1 个已接受解答

已接受的解答

查看解答
Rider0512
Level 1
Level 1

发布时间 ‎02-01-2016 06:38 PM

通常在内网存在对外网提供服务,一般采用映射的方式,但是有的时候发现明明映射成功了,但是却在外网无法访问。我总结我出现的几种情况。(前提是你的配置是正确的,不对的话,就别卖萌了)
1:客户的服务器的服务根本就没有开启,客户的服务器根本没有开启这个服务,就算配置做对了,也是扯淡。
2:没有路由或者路由的走向不对。例如出口设备存在2个isp(就是双线),内部的服务器映射到外网的1.1.1.1,但是在出口的策略却把流量丢个了2.2.2.2,这样会造成tcp连接不成功。可以在服务器上tracert下外网的地址,看下路由走向。
3:电信封堵了端口。在广东等区域,电信会封堵80和8080端口,要在外网发布,需要到电信去报备。没有报备,不让在外网发布。所以你就算映射了,也无法访问可以尝试把80或8080映射到8888等端口做测试,如果可以访问,那就是报备问题了。出现这个问题,只有让客户自己去报备了
4:ARP解析缓慢。大多发生在更换出口设备造成。当客户更换设备(客户存在多个外网地址),导致原有的隐射都无法访问了。那就是ISP的ARP解析问题。因为设备已经变了(在cisco,juniper等防火墙的接口都开启了代理ARP, CP的强自己手动添加解析)。而ISP还是用原因的ARP来解析来解析这个地址。等解析错误,就会传输错误,数据就丢失了。这时可以用把隐射的外网地址放在外网口去做nat,让ISP快速收敛。(就出现过一次)
5:开放端口不成功(只出现在防火墙)。这是防火墙和路由器工作原理不同,路由器是为了尽力的去转发包,转发的越多越好;而防火墙是为了让少发包,只让放开的包通过,其余全干掉,这就导致你映射端口,就要把此端口打开。但是有的时候你会发现我,已经把这个外网地址的端口放行了,但是还是不通。Permit tcp (udp)any any 吧,这个是设备问题。(出现过2次,一般还是把接口地址的MAPED端口放开就可以)
6:default-policy丢失(ASA才会出现这个)。在ASA的默认配置里,里面有个default-policy,ASA自动监控一切端口。大部分的墙都是基于状态转发的,只要是outbound的流量直接放行,同时会监控这个端口(服务),那么这个流量回包就可以放行(icmp除外)同时放行这个服务的后续端口。比如有些特殊的服务会占用2个端口,例如FTP。建立连接的是21,但数据传输端口就是其他端口(FTP主动模式下,数据传输端口是20,但是我从来没见过那家公司的FTP用主动模式,孤陋寡闻了。大部分用的还是被动传输。)。所以当default-policy丢失,虽然隧道连接成功了,但是FTP的数据传输却建立不起来。因为ASA根本找不到20(或其他端口)的conn,所以数据也无法传输。(就出现过一次)
7:错误的链路监控。当出口设备连接2个ISP,为了做链路负载,可能会用到SLA,来检测一个IP。曾经碰到一个国外的工程师,检测的地址是8.8.8.8(他以为这里是美国呢),这个地址在国内会丢包。所以链路一直切换,这时你也别想成功了。(就出现过一次)
就出现出现过这几种情况。其他的没有碰到,希望大家补充

在原帖中查看解决方案

0 有帮助
5 条回复5

查看解答
Rider0512
Level 1
Level 1

发布时间 ‎02-01-2016 06:38 PM

通常在内网存在对外网提供服务,一般采用映射的方式,但是有的时候发现明明映射成功了,但是却在外网无法访问。我总结我出现的几种情况。(前提是你的配置是正确的,不对的话,就别卖萌了)
1:客户的服务器的服务根本就没有开启,客户的服务器根本没有开启这个服务,就算配置做对了,也是扯淡。
2:没有路由或者路由的走向不对。例如出口设备存在2个isp(就是双线),内部的服务器映射到外网的1.1.1.1,但是在出口的策略却把流量丢个了2.2.2.2,这样会造成tcp连接不成功。可以在服务器上tracert下外网的地址,看下路由走向。
3:电信封堵了端口。在广东等区域,电信会封堵80和8080端口,要在外网发布,需要到电信去报备。没有报备,不让在外网发布。所以你就算映射了,也无法访问可以尝试把80或8080映射到8888等端口做测试,如果可以访问,那就是报备问题了。出现这个问题,只有让客户自己去报备了
4:ARP解析缓慢。大多发生在更换出口设备造成。当客户更换设备(客户存在多个外网地址),导致原有的隐射都无法访问了。那就是ISP的ARP解析问题。因为设备已经变了(在cisco,juniper等防火墙的接口都开启了代理ARP, CP的强自己手动添加解析)。而ISP还是用原因的ARP来解析来解析这个地址。等解析错误,就会传输错误,数据就丢失了。这时可以用把隐射的外网地址放在外网口去做nat,让ISP快速收敛。(就出现过一次)
5:开放端口不成功(只出现在防火墙)。这是防火墙和路由器工作原理不同,路由器是为了尽力的去转发包,转发的越多越好;而防火墙是为了让少发包,只让放开的包通过,其余全干掉,这就导致你映射端口,就要把此端口打开。但是有的时候你会发现我,已经把这个外网地址的端口放行了,但是还是不通。Permit tcp (udp)any any 吧,这个是设备问题。(出现过2次,一般还是把接口地址的MAPED端口放开就可以)
6:default-policy丢失(ASA才会出现这个)。在ASA的默认配置里,里面有个default-policy,ASA自动监控一切端口。大部分的墙都是基于状态转发的,只要是outbound的流量直接放行,同时会监控这个端口(服务),那么这个流量回包就可以放行(icmp除外)同时放行这个服务的后续端口。比如有些特殊的服务会占用2个端口,例如FTP。建立连接的是21,但数据传输端口就是其他端口(FTP主动模式下,数据传输端口是20,但是我从来没见过那家公司的FTP用主动模式,孤陋寡闻了。大部分用的还是被动传输。)。所以当default-policy丢失,虽然隧道连接成功了,但是FTP的数据传输却建立不起来。因为ASA根本找不到20(或其他端口)的conn,所以数据也无法传输。(就出现过一次)
7:错误的链路监控。当出口设备连接2个ISP,为了做链路负载,可能会用到SLA,来检测一个IP。曾经碰到一个国外的工程师,检测的地址是8.8.8.8(他以为这里是美国呢),这个地址在国内会丢包。所以链路一直切换,这时你也别想成功了。(就出现过一次)
就出现出现过这几种情况。其他的没有碰到,希望大家补充
0 有帮助

查看解答
13nash
Level 8
Level 8

发布时间 ‎02-02-2016 08:11 PM

?不会这么大bug吧
0 有帮助

查看解答
yanzha4
Spotlight
Spotlight

发布时间 ‎02-02-2016 11:38 PM

你的 public-ip3 能在外网ping通么?
0 有帮助

查看解答
pebao
Cisco Employee
Cisco Employee

发布时间 ‎02-15-2016 01:44 AM

你的public-ip3地址是什么地址,和outside接口地址在一个网段么?这个可能是路由的问题,就是运营商那边没有public-ip3这个地址的路由吧。
0 有帮助

查看解答
Rider0512
Level 1
Level 1

发布时间 ‎05-19-2016 02:28 AM

没看我的回答吗?看第四个。把接口地址改下就好了。这个是proxy ARP的问题。
0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频视频
Customers Also Viewed These Support Documents