Cisco ASA Hairpinning技术解决内网通过公网IP访问内网服务器问
用户 需求: ASA 目前使用 inside 、 outside 两个接口,无 DMZ 区域,目前 服务器 地址 192.168.1.244 通信端口 8080 ;本地测试客户端的 ip 地址是 192.168.1.100 ; 通过 静态的 NAT 后 ip 是 218.17.199.108 ,外网映射端口是 56123 。做完常规的 STAICN
用户需求:
ASA目前使用inside、 outside 两个接口,无DMZ区域,目前服务器地址192.168.1.244 通信端口8080;本地测试客户端的ip地址是192.168.1.100;通过静态的NAT后ip是218.17.199.108,外网映射端口是56123。做完常规的STAIC NAT后,测试情况如下:
公网测试:http://218.17.199.108:56123/Gwall_osa是成功的
本地测试:http://218.17.199.108:56123/Gwall_osa不成功
目的就是要解决本地测试http://218.17.199.108:56123/Gwall_osa,能正常访问,数据能交互。ASA 防火墙使用Hairpinning技术来解决内网PC通过公网IP来访问内网的服务器的问题。如下拓扑:
IOS 8.3以前版本的 Hairpinning技术相关配置如下:
1、same-security-traffic permit intra-interface //允许同一接口发起进出口流量
2、nat (inside) 1 0.0.0.0 0.0.0.0
3、global (outside) 1 interface//源NAT允许所有上网
4、global (inside) 1 interface
// 为内网用户使用Hairpinning访问内部服务器定义global地址。
5、static (inside,outside) 218.17.199.108 192.168.1.244 netmask 255.255.255.255
//使用Static NAT映身一台服务器,公网IP218.17.199.108 -->IP 192.168.1.244。
6、static (inside,inside) 218.17.199.108 192.168.1.244 netmask255.255.255.255
//为Hairpinning流量返回路径定义NAT映射:218.17.199.108 ―->192.168.1.244
7、access-list outside_access_in extended permit tcp any host218.17.199.108 eq 56123
放行流量,应用在outside的口。
IOS 8.3以后版本的 Hairpinning技术相关配置如下:
same-security-traffic permitintra-interface
//允许同一接口发起进出口流量
object network ser1
host 192.168.1.244
nat (insdie,outside) sta 218.17.199.108 sertcp 56123 8080
//保证公网能通过映射访问内部服务器
object network my-test1
subnet 10.1.0.0 255.255.255.0
nat(inside,inside) dynamic interface
object network my-test1
subnet 10.2.0.0 255.255.255.0
nat(inside,inside) dynamic interface
object network my-test3
subnet192.168.1.0 255.255.255.0
nat(inside,inside) dynamic interface
object network test
host192.168.1.244 (服务器IP)
nat(inside,inside) static 218.17.199.108 service tcp 8080 56123
放行ACL流量
access-list outside_access_in extendedpermit tcp any host 218.17.199.108 eq 56123
access-group outside_access_in in inoutside
yeexw” 博客,转载请与作者联系!