已解决: ASA5525多外部网络接口环境，服务器端口映射连接异常

qi777 · ‎04-23-2023

ASA5525 Cisco Adaptive Security Appliance Software Version 9.8(4)22

如题，设备上分别有三网的企业宽带接入，为服务器配置映射后，从外部发起连接仅能访问默认路由接口下的设备，其他外网出口下的映射能看到命中，但是连接不上，packet-tracer结果也是allow，有朋友知道是什么原因吗？

接口配置：

interface GigabitEthernet0/1
nameif outside1
security-level 0
ip address 14.239.5.5 255.255.255.0
!
interface GigabitEthernet0/2
nameif outside2
security-level 0
ip address 21.11.40.10 255.255.255.0
!
interface GigabitEthernet0/3
nameif outside3
security-level 0
ip address 24.39.15.16 255.255.255.0

静态路由：

route outside1 0.0.0.0 0.0.0.0 14.239.5.1

NAT策略：

object network PNAT-35355-out1

host 10.100.1.120
nat (inside,outside1) static interface service tcp 35355 35355

object network PNAT-35355-out2

host 10.100.1.120
nat (inside,outside2) static interface service tcp 35355 35355

object network PNAT-35355-out3

host 10.100.1.120
nat (inside,outside3) static interface service tcp 35355 35355

ACL配置：

access-list outside1_in extended permit icmp any any
access-list outside1_in extended permit tcp any host 10.100.1.120 eq 35355

access-list outside2_in extended permit icmp any any
access-list outside2_in extended permit tcp any host 10.100.1.120 eq 35355

access-list outside3_in extended permit icmp any any
access-list outside3_in extended permit tcp any host 10.100.1.120 eq 35355

access-group outside1_in in interface outside1
access-group outside2_in in interface outside2
access-group outside3_in in interface outside3

另外通过外部PING测，也是默认路由接口的IP可以通，但是其他两个外网口不通

ilay · ‎04-23-2023

每个出口上都需要有一条默认路由，否则回包是有问题的

将一个出口的默认路由metric设置为默认的1，另外两个metric大于1即可。

或者根据相应的isp，添加其网内公网地址范围的明细静态路由，asa将根据路由表判断路由的出口，但这种情况还是得加3条默认路由配置，因为不太可能获取全网的所有明细信息，总归是有一些漏网之鱼会搞出点问题来的

在原帖中查看解决方案

ilay · ‎04-23-2023

每个出口上都需要有一条默认路由，否则回包是有问题的

将一个出口的默认路由metric设置为默认的1，另外两个metric大于1即可。

或者根据相应的isp，添加其网内公网地址范围的明细静态路由，asa将根据路由表判断路由的出口，但这种情况还是得加3条默认路由配置，因为不太可能获取全网的所有明细信息，总归是有一些漏网之鱼会搞出点问题来的

qi777 · ‎04-23-2023

非常感谢，添加接口路由解决了问题