У меня есть ASA 5505 под управлением 8.4 с внешним интерфейсом, подключенным к нашей внутренней сети. Я хочу открыть доступ к хостам на одном из vlan за этим ASA для хостов в нашей внутренней сети. Я только начинал понимать NAT на нашем старом PIX, но теперь ASA 8.4 сбивает меня с толку. Учитывая чистый ASA с внешним vlan 10.0.0.1/24 и тестовым vlan 10.0.1.1/24, какая базовая конфигурация необходима, чтобы позволить любым хостам во внешней сети иметь доступ к любому из хостов в тестовой сети?
Вы тоже уже настроили ACL? Если вы определили свою сеть 10.0.0.0/24 как внешнюю (уровень безопасности интерфейса по умолчанию 0), она не разрешит трафик на другие интерфейсы.
А как насчет ваших объектов - вы их определили? Вам действительно следует использовать ссылки на объекты, а не IP-адреса при использовании ASA 8.4.
Что касается NAT, если вы просто хотите, чтобы все было NoNAT (все сохраняют свои IP-адреса), вы бы сделали:
nat (снаружи, внутри) источник статический myOutsideSubnet myOutsideSubnet IP-адрес назначения статический myInsideSubnet myInsideSubnet
Это метод NAT "дважды-NAT" на 8.4. Для вас это звучит странно, если вы новичок в 8.4. Twice-NAT просто означает, что вы определяете два правила для NAT, по одному в каждом направлении. Это не очевидно, но по умолчанию все правила являются двунаправленными, поэтому одно утверждение выше также создало правило обратного NAT для проходящего трафика (внутри, снаружи). Если вы используете для этого ASDM, вы увидите флажок для двунаправленного действия при создании NAT, и вы увидите, что оба правила отображаются в консоли.
Также есть объектный NAT. Обратитесь к документации 8.4, чтобы узнать о синтаксисе и их примерах: