常见问题列表:
- 问:--HI,老师,问下,策略ANT时,一般源地址不一致的情况下,是无法调用的,但一旦调用后在(就是先写ACL,在调用,如果源地址不一致,会提示报错,)写ACL就可以了,但重启会丢失,有时客户老是配错,导致重启后业务就有问题了,有什么办法可以提示吗?-
- 问:-Dyname PAT 對外開8080 ,內部服務是HTTP這個NAT Session 會正常嗎?
- 问:--static (inside,outside) 192.168.1.0 172.16.1.0,这个是怎么匹配的?比如712.16.1.1转换成192.168.1.1,172.16.1.2转成192.168.1.2,我内网172.16.1.3坏了,172.16.1.4转出去的时候是转成192.168.1.3还是192.168.1.4?还有我如果想地址一一对应,有什么办法?--
- 问:请问内网inside 和outside 都是公网,需要做PAT用什么方法做比较好。如果是多对一,但是内网和外网都是公网的IP地址。-
- 问:-请问端口号能定义一段范围吗?比如将1.1.1.1的端口2000-3000 映射到 192.168.1.1的2000-3000-
- 问:ASA可以用内网端口与远端设备做IPSec吗?-
- 问:nat (inside,any) source static obj-172.16.200.0 obj-172.16.200.0 destination static obj-192.168.100.0 obj-192.168.100.0 no-proxy-arp route-lookup 里面的no-proxy-ar和route-lookup的作用?-
- 问:--那identity 与豁免NAT有什么区别呢-
- 问:--VPN感兴趣流量在 8.3以后是不是要用twice nat匹配?
- 问:--还有两个level 都是50的 DMZ1,2 只需要same-secrity-traffice permit inter 就可以了吗?
- 问:--object name abc and object name ABC哪个优先?-
- 问:对于VPN nonat的流量,在8.3以后是不是就用twice NAT里面写成source identity NAT 和destination identity NAT 这种方式来代替?-
- 问:csc module是什么?有什么作用
- 问:%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection for udpsrc outside:200.32.7.253/123 dst inside:40.2.208.64/123 denied due to NAT reverse path failure是什么原因?-
- 问:我想问 cx 模块和CSC 模块区别是什么-
- 问:-有没有介绍5500-X IPS部署的东西-
- 问:-ASA catch packet configure 還要另外移除嗎?--還是抓完後會自動移除-
- 问:-我8.0 打开nat-control,相同的level 的DMZ1跟2,打完 same-secrity-traffic 以后还需要做DMZ1-2的 NAT吗-?为什么?
- 问:PAT在日志看不到客户端的真实访问的外部地址?-
- 问:failover是不是要求LICENSE一样,比如客户要买两份SSLVPN的LICENSE,客户觉得贵-
- 问:-请问下,如果是做的PAT,双ISP出口,这个时候内到外的第一个数据包是按照什么转发?是按照路由表还是看PAT?-
- 问:在inside和inside2 (相同安全等级)时,不考虑使用same-security-traffic permit inter-interface ,能用NAT 实现相互访问吗?-
- 问:把那个xmit清掉了就不通了?-
- 问:-我配了nat (inside) 0 0.0.0.0这条命令,从outside都无法主动去向没有做静态映射的主机发起访问了?
- 问:8.4之前的是不是用翻译之后的地址?-
- 问:-xlate per-session deny tcp any4 any4…xlatepe-这些命令的作用是-?
演讲专家:
Junling Yao本次活动中,以下思科技术支持专家担任答疑专家组成员,协助解答与会者的在线提问:
答疑专家:
Guomin Zhang答疑专家:
Yang Liu本期【CSC公开课】同主题相关资料:
问题解答列表:问:--HI,老师,问下,策略ANT时,一般源地址不一致的情况下,是无法调用的,但一旦调用后在(就是先写ACL,在调用,如果源地址不一致,会提示报错,)写ACL就可以了,但重启会丢失,有时客户老是配错,导致重启后业务就有问题了,有什么办法可以提示吗?-
答:--肯定要先写ACL-。报错,说明 NAT 语法有问题,能否把报错的信息提供一下,谢谢。
-问:同样的ACL,其源地址可能写成不一样的-
答:同样的ACL 不可以的,做2次不同的NAT ,如果需要增加ACL 需要重新做。不能后期加ACL,这也为什么重启后就出问题,我们必须按照标准的配置语法配置。谢谢-
问:这个我知道,呵呵,就是经常会发现客户在维护的过程中,会增加ACL,例如上面的,,但他可以写上去,,重启后会丢失,我就想问下,有没有啥机制,可以提示配置者?-
答:-那我清楚您的问题了,确实不会报错,暂时没有什么解决方法。谢谢。
问:-Dyname PAT 對外開8080 ,內部服務是HTTP這個NAT Session 會正常嗎?
答:-会正常的,外部client访问 8080 ,防火墙重定向到里面服务器的http-‑
问:--static (inside,outside) 192.168.1.0 172.16.1.0,这个是怎么匹配的?比如712.16.1.1转换成192.168.1.1,172.16.1.2转成192.168.1.2,我内网172.16.1.3坏了,172.16.1.4转出去的时候是转成192.168.1.3还是192.168.1.4?还有我如果想地址一一对应,有什么办法?--
答:-这种配置就是一一对应, 1对1 3对3 。当 escalate timeout 掉后, 192.168.1.3 会归还给ANT POOL 这是其它ip就会使用
问:请问内网inside 和outside 都是公网,需要做PAT用什么方法做比较好。如果是多对一,但是内网和外网都是公网的IP地址。
答:--这个主要看实际的应用,和客户的需求。如果要双向访问,那么必须要做static-‑
问:-请问端口号能定义一段范围吗?比如将1.1.1.1的端口2000-3000 映射到 192.168.1.1的2000-3000-
答:-可以的
问:ASA可以用内网端口与远端设备做IPSec吗?-
答:---不可以
问:你好,nat (inside,any) source static obj-172.16.200.0 obj-172.16.200.0 destination static obj-192.168.100.0 obj-192.168.100.0 no-proxy-arp route-lookup 里面的no-proxy-ar和route-lookup的作用?-
答:---no-proxy-arp. -(Optional) For static NAT, disables proxy ARP for incoming packets to the mapped IP addresses. -route-lookup (Optional) For identity NAT in routed mode, determines the egress interface using a route lookup instead of using the interface specified in the NAT command. If you do not specify interfaces in the NAT command, a route lookup is used by de-‑
问:--那identity 与豁免NAT有什么区别呢-
答:--免除NAT 可以有更大的部署灵活性,可以使用policy nat配合使用-‑
问:--VPN感兴趣流量在 8.3以后是不是要用twice nat匹配?--
答:--是的。替代以前的NAT 0 + ACL-‑
问:--还有两个level 都是50的 DMZ1,2 只需要same-secrity-traffice permit inter 就可以了吗?
答:-对的
-问:--object name abc and object name ABC哪个优先?-
答:Within each rule type, the following ordering guidelines are used:a. Quantity of real IP addresses—From smallest to largest. For example, an object with one address will be assessed before an object with 10 addresses.不分大小写,名字相同就看先后顺序
问:object name abc and object name ABC哪个优先?刚亲测,大写优-
答:b. For quantities that are the same, then the IP address number is used, from lowest to highest. For example, 10.1.1.0 is assessed before 11.1.1.0.
c. If the same IP address is used, then the name of the network object is used, in alphabetical order. F
问:对于VPN nonat的流量,在8.3以后是不是就用twice NAT里面写成source identity NAT 和destination identity NAT 这种方式来代替?-
答:用twice nat替代nat (inside,outside) source static VPN_INSIDE VPN_INSIDE destination static PEER_VPN_INSIDE PEER_VPN_INSIDE
问:csc module是什么?有什么作用
答:老的ASA5500系列防火墙的内容安全控制模块,比如web页面内容过滤等等。
问:%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection for udpsrc outside:200.32.7.253/123 dst inside:40.2.208.64/123 denied due to NAT reverse path failure是什么原因?-
-答:Explanation An attempt to connect to a mapped host using its actual address was rejected.
Recommended Action When not on the same interface as the host using NAT, use the mapped address instead of the actual address to connect to the host. In addition, -enable the inspect command if the application embeds the IP address.-
问:我是做了nat(inside)0 0.0.0.0,然后outside的主机访问inside的ntp服务器,-
答:这种配置,无法从outside 发起,只能从inside 发起访问到outside ,动态创建 identity nat条目-
问:我的outside主机是访问inside ntp服务器的源地址。我asa5520 7.2版本的-
答:-如果您需要outside访问 inside里面的ntp服务器1.1.1.1,您可以做 static (inside,outside) 1.1.1.1 1.1.1.1 -
问:那意思是说,我配了这条命令,从outside都无法主动去向没有做静态映射的主机发起访问了?
- 答:capture 的配置,不影响原有的访问-‑
问:我想问 cx 模块和CSC 模块区别是什么-
答:CX 是ASA5500-X的 CSC是老的5500的
问:-有没有介绍5500-X IPS部署的东西-
答:
http://www.cisco.com/c/en/us/td/ ... li/modules-ips.html问:-ASA catch packet configure 還要另外移除嗎?--還是抓完後會自動移除-
答:-CLI需要手工 no capture,如果用ASDM ,当关掉asdm自动移除-‑
问:-我8.0 打开nat-control,相同的level 的DMZ1跟2,打完 same-secrity-traffic 以后还需要做DMZ1-2的 NAT吗-?为什么?
答:需要,因为您enable 了nat-control-
问:不是 same 打开就可以了吗-
答:不配NAT-Control 的话,same 确实就可以了。
问:相同level 也需要nat吗?-
答:开了nat-control ,就必须要nat-‑
问:PAT在日志看不到客户端的真实访问的外部地址?-
答:在log 中看不到,可以通过 show xlate debug 看到
问:failover是不是要求LICENSE一样,比如客户要买两份SSLVPN的LICENSE,客户觉得贵-
答:ASA 8.3之后,不需要买2份, 1份就OK.-‑
问:-ASA 8.3之后,不需要买2份, 1份就OK. 具体怎么用?-两台的serial也不一样-
答:-primary上有license就行了。用在一台上,然后做failover 就行了。-failover起来之后,最终license 会把2台的加起来。-请参考-
http://www.weibo.com/1864895744/z0ryCFFfj?mod=weibotime-
问:-如果是8.3前的一定要买两份是吧-
答:-是的-
问:-请问下,如果是做的PAT,双ISP出口,这个时候内到外的第一个数据包是按照什么转发?是按照路由表还是看PAT?-
答:先查路由
问:在inside和inside2 (相同安全等级)时,不考虑使用same-security-traffic permit inter-interface ,能用NAT 实现相互访问吗?-
答:不能 same inter 是前提。
问:把那个xmit清掉了就不通了?-
答:抱歉,问题不是太清楚。如果您说的是xlate,如果xlate被清除了,那么与这个xlate关联的所有的连接在火墙上都会被清除掉,会导致已经在此连接上传输的流量被丢弃。
问:-我配了nat (inside) 0 0.0.0.0这条命令,从outside都无法主动去向没有做静态映射的主机发起访问了?
答:-nat 0 加网段是动态NAT, 不能从outside 主动发起。-
问:8.4之前的是不是用翻译之后的地址?-
答:如果您问的是访问控制列表中的地址引用问题:在asa 8.3之前,如8.2x之前,access-group所引用的访问控制列表中的目标地址是翻译后的地址,在8.3之后,access-group所引用的访问控制列表中引用的目标地址是翻译前的地址。
问:-xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4eq domain
xlate per-session deny udp any4 any6 eq domain
xlatepe-这些命令的作用是-?
答:By default, all TCP PAT traffic and all UDP DNS traffic uses per-session PAT. To use multi-session PAT for traffic, you can configure per-session PAT rules: a permit rule uses per-session PAT, and a deny rule uses multi-session PAT. For more information ht-. 请参考:
http://www.cisco.com/c/en/us/td/ ... ig/nat_objects.html-
FAQ文档下载: