Назад | Перейти на главную страницу

Обрезать глобальный адрес PAT ASA без разрыва соединения

В настоящее время мы выполняем PAT все, от конкретной подсети до IP-адреса внешнего интерфейса, используя наш ASA5585 (динамический PAT). Мы испытываем исчерпание пула и поэтому нам необходимо расширить глобальный диапазон IP-адресов. Может ли кто-нибудь придумать способ перейти на новый диапазон без разрыва существующих соединений? Спасибо, что посмотрели!

Согласно потоку на https://supportforums.cisco.com/message/3769433 Я могу подтвердить, что при изменении правила NAT существующие переводы сохраняются, а новые соединения используют новый пул.

Судя по вашему комментарию выше, это невозможно.

Если вы полностью меняете IP-адрес внешнего пула, любые подключения, которые у вас есть должен быть восстановленным. Удаленной конечной точке нужно будет каким-то образом знать, чтобы повторно использовать тот же сеанс с новым IP-адресом.

Это было бы возможно только в том случае, если бы весь старый диапазон полностью содержался в новом диапазоне. Даже тогда я не знаю, что будет делать ASA (но если он правильно спроектирован, существующие сеансы будут продолжены). Но я знаю, что если вы полностью меняете свой пул, все сеансы должны быть прерваны.