Cisco ASA5510現在NAT 1つの外部IPから内部IPへのSMTP用です。2つの外部IPを同じIPにNATに設定する必要がありますどうすればそれを行うことができますか?例:10.10.10.1 25-> 192.168.0.200 25 10.10.10.3 25-> 192.168.0.200 25
1:1マッピングルールに違反するため、これに静的PATを使用することはできません。ファイアウォールは、双方向(in-> outとout-> inの両方)で使用するマッピングを認識している必要があります。あなたの場合、192.168.0.200がポート25ファイアウォールから発信された接続は、使用するグローバルIPを認識しません。言い換えれば、この方法では不可能です。
最も簡単な解決策は、内部デバイスに追加のIPアドレスを割り当て、NATをクリーンに保つことです。 192.168.0.201の追加のIPを割り当てたとしましょう。構成は次のようになります。
static (inside,outside) tcp 10.0.0.1 25 192.168.0.200 25
static (inside,outside) tcp 10.0.0.3 25 192.168.0.201 25
IOS 8.2または以下:
access-list SMTP-Services extended permit ip Host 192.168.0.200 Host 10.10.10.1
access-list SMTP-Services2 extended permit ip Host 192.168.0.200 Host 10.10.10.3
static (InternalInterface,ExternalInterface) 10.10.10.1 access-list SMTP-Services
static (InternalInterface,ExternalInterface) 10.10.10.3 access-list SMTP-Services2
申し訳ありませんが、私はあなたがやりたいことの正反対を理解していました。
外部インターフェイスにアクセスリストを追加することを忘れないでください。
access-list _outside-in_ extended permit tcp Host 10.10.10.1 Host _YourExternalIP_ eq smtp
access-list _outside-in_ extended permit tcp Host 10.10.10.3 Host _YourExternalIP_ eq smtp
まず、8.3以降のASAにアップグレードする必要があります。パブリック用のIPの範囲でネットワークを作成してオブジェクト化します。次に、サーバーの内部/実際のIPアドレスのオブジェクトネットワークを作成します。次に、最初のオブジェクトを呼び出すnatステートメントを追加します。
!
object network outside_email
range 10.10.10.1 10.10.10.2
!
!
object network inside_email
Host 192.168.0.200
nat (inside,outside) static outside_email
別のStackExchangeサイトにも同じ質問があります ここ 。これが機能するのは、プロトコル、送信元IP、宛先IP、およびポートがすべて、この1:1マッピングのキーの一部であるためです。また、BGPが把握できない場合は、ネットワークの復元力を高めるための優れた手法でもあります。