5512的问题

jet.chuk · ‎07-30-2017

我们的网络环境，一台5512，配置了三个public IP，分别NAT到内网三台server，内网server只有内网IP
使用中有些情况不明白：
1. 曾经一次，遇到过一台server不能外网连进去，外网从另外的server经内网进该server，改一下内网IP，改一下5512上的NAT，就通了，但过一会儿，又会不通。再改，再通，再不通... 找不出原因，后来没办法换了server和5512，好了
2. 最近，又了出现外网不能进一台server，持续1小时，自己恢复了。期间内网可以正常。
3. 在2的情况后，我们试着做其它的测试，将其中一台server的gateway去掉来模拟断外网。实验中，发现除了改动的这台外网断（是实验的正常预期），另一台server的外网在去掉实验的那台的gateway时，竟然也有断外网约3-5分钟。
请问，这会是什么原因？想不明白道理。
是否5512上这种三个public ip NAT 到 3个内网IP 的模式要有什么注意的地方吗？

jingjian · ‎10-09-2017

首先需要确认你的内网环境是没有任何问题的，包括网关的设置，内网的路由等。
其次，检查防火墙的配置，静态NAT分三个步骤，下列配置可供参考，请根据真实的IP,开启的服务修改。
object network server1
host 10.1.1.1
object network server2
host 10.1.1.2
object network server2
host 10.1.1.3
object network server1
nat (inside,outside) static 102.1.1.1 service tcp www www
object network server2
nat (inside,outside) static 102.1.1.2 service tcp www www
object network server3
nat (inside,outside) static 102.1.1.3 service tcp 8080 8080
access-list outside extended permit tcp any object server1 eq www
access-list outside extended permit tcp any object server2 eq www
access-list outside extended permit tcp any object server3 eq 8080
最后，假如配置没有问题，可以尝试升级设备的IOS软件到推荐版本

RenxChen · ‎10-12-2017

NAT映射内网IP对应公网IP。通过端口进行访问业务。
遇到这样的情况。
第一确认内网应用访问是否正常。
第二确认外网访问你的公网IP的情况
第三再检查防火墙NAT配置，可以用上一次正常时候备份的配置与故障期间的配置进行对比。很容易找到配置的问题。
第四就是服务器业务的问题。最近是否有变更。
第五如果网关设备更换过的话试着找运营商清洗专线流量
nat (inside,outside) static 公网IP tcp FTP 内网IP netmask 255.255.255.255
指定公网IP映射内网主机IP，FTP业务到公网。
这样NAT就定的比较死了。

fortune · ‎10-17-2017

做好能正常访问证明配置是ok的，如果断开了有恢复，首先你要看日志，一般ASA 上面有报错，然后你要做测试啊，直接PC接ASA 外网访问映射地址，看看是否ok，如果正常表明可能就是ISP 问题，如果不能访问，你就要测试是哪个策略限制了