CiscoASAマルチパブリックIP

まず第一に、本当に単一のパブリックIPしかない場合、これは2つの内部ホストに同じポートをポート転送しようとしては機能しません。

あなたがIPの範囲を持っていても、おそらくあなたのISPがあなたに小さな/ 29サブネットを与えたなら、あなたは幸運です。/29をASAにルーティングしている場合は、明らかに通常どおり、外部インターフェイスで設定できるIPは1つだけですが、それらの追加IPのトラフィックを受信して​​いる場合は、それらを使用できます。

（以下は、IP over PPPoEを割り当てられ、ISPが/ 29をそのインターフェイスにルーティングするASAの例ですが、たとえば、アップリンクがイーサネットセグメントである場合、ASAはプロキシARP）。

実行しているASAOSのバージョンを指定していないため、具体的に説明することはできません。これは、8.2で使用している例です。これにより、ASAにルーティングされた同じサブネット内の2番目のパブリックIP、2つの2番目の内部ホストでRDP（ポート3389）が許可されます（デフォルトのNATルールなどを含めたので、全体像）。

! Assume we get assigned the public IP 1.2.3.4, and also in this subnet 
! routed to the ASA is 1.2.3.5
! RDP to 1.2.3.5 goes to 2nd internal Host 192.168.0.20.
interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group PNDSL
 ip address pppoe setroute 
!
interface Ethernet0/0
 switchport access vlan 2
!
access-list inside_access_in extended permit ip any any 
access-list outside_access_out extended permit ip any any 
access-list rdp_inbound extended permit tcp any interface outside eq 3389 
access-list rdp_inbound_54 extended permit tcp any Host 1.2.3.5 eq 3389 log 
!
global (outside) 1 interface
global (outside) 2 1.2.3.5
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 1.2.3.5 192.168.0.20 netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group rdp_inbound_54 in interface outside
access-group outside_access_out out interface outside

これがあなたにとって正しい設定であることを願っています。彼らが導入した変更は私の単純な頭脳には大きすぎて、8.4より前のものが私の鼻から落ちているので8.4に焦点を合わせています！

ASAにはパブリックIPが1つしかないというのは誰ですか。

それはファイアウォールであり、あなたが指示したすべてのトラフィックを受け入れることができます。

独自の外部IP以外のIPは、他のインターフェイスにNATすることができます（または、内部ポートを外部インターフェイスのIPにNATすることができます）。

これがASAの方法です動作;従来のルーティングはありませんが、すべてがNATを介して行われます。

これは異常なことではありません。確かに、ASAデバイスはサブネットごとに複数のIPを保持できません。

ただし、より多くのアドレスを使用するのが標準的な方法です。 ASAによって保持されていないIPに対してNATを設定できます。唯一の要件は、これらのアドレスがプロバイダーによってルーティングされることです。アドレスが同じサブネット内にある必要はありません。リンクネットワーク。