在使用ASDM配置外网到内网的STATIC NAT时需要注意其配置的顺序,否则配置的该NAT策略不会生效,具体参看下图,测试结论在文末说明。


上图中的NAT配置只有三条,先配置了内网到外网的NAT(1),再配置了DMZ到外网的NAT(2),最后配置了外网到DMZ的NAT(3)。
以上NAT配置后,测试内网到外网,DMZ到外网的的连通性均正常,只有DMZ映射出去的www服务在外网无法测试访问(排除outside ACL和路由问题,已放行)。
在外网测试结果如下,无法联通。

接下来将外网到DMZ的映射条目调整到最上方,应用后再测试,可以正常访问。


为了进一步验证其顺序,继续将该NAT条目下移并应用,测试正常。


再次移动到初始位置,测试不通过。

测试验证结论:
当先配置DMZ到outside的dynamic NAT后,再配置DMZ 的Static NAT时,其顺序必须再对于dynamic NAT之前,与其他端口以及方向的NAT条目没有关系。

问题之外:
上述关于DMZ内,外网NAT的配置时单独配置的2条策略,通常DMZ都是会用来对外提供服务的,所以对外NAT映射时必不可少的,这里用ASDM直接对DMZ的内网映射一次性配置,就可避免上述顺序问题。

采用STATIC NAT的方式配置外网到DMZ的NAT映射,完成后生产的策略条目如下:

条目2即为配置完成后的策略,请注意这里的条目2包含2条NAT策略,可以看出在配置外网到DMZ的NAT的同时其下方就会生成一条DMZ到外网对于的NAT策略,这个顺序和前面问题验证时的顺序一致,这2条策略其实是一条,删除任何一条是另一条也会自动删除。
条目2对应的命令为:
object service WWW service tcp source range 1 65535 destination eq www
object network DMZ_172.16.10.200 host 172.16.10.200
object network Public_100.100.100.252 host 100.100.100.252
nat (outside,DMZ) source static any any destination static Public_100.100.100.252 DMZ_172.16.10.200 service WWW WWW

关于Cisco ASDM中配置STATIC NAT顺序的问题-By 年糕泰迪相关推荐

  1. 在Cisco路由器中配置DHCP服务器

    配置以太口地址: Interface Ethernet 0 \\进入以太网口配置模式 No shut  \\启动以太网口 Ip address 192.168.2.1 255.255.255.0 \\ ...

  2. CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪

    注:设备版本6.2.3 ,MFC 和 FTD都为KVM. 在FTD部署HA之前,首先需要将2台设备注册到MFC中,注册前需要确保2台FTD的所有硬件及软件资源一致,包括接口数量,另外不能部署***,最 ...

  3. 在Mac IntelliJ IDEA中配置Git

    访问:git官网:https://git-scm.com/下载符合当前系统的安装包,下载后进行安装. 在IntelliJ IDEA中配置Git 菜单栏顺序选择: IntelliJ IDEA->P ...

  4. 在CISCO路由器上配置NAT功能

    在CISCO路由器上配置NAT功能 http://www.enet.com.cn/eschool/  2011年07月13日11:59  来源:来自论坛  作者:佚名   [文章摘要]随着intern ...

  5. 在Windows Server 2012中配置NAT代理服务器

    现在单位采用实名认证上网,认证软件只限本人在一台计算机上进行认证.但现在需要上网的设备比较多,例如你有手机.平板,也有其他的多台计算机上网,这时候就需要做一个代理服务器.网络拓扑如图1所示. 图1 共 ...

  6. 常见企业拓扑Cisco配置:三层交换机互联、DHCP配置、路由器交换机配置、NAT静态地址转换、DMZ区域的ACL配置

    常见企业拓扑Cisco配置:三层交换机互联.DHCP配置.路由器交换机配置.NAT静态地址转换.DMZ区域的ACL配置 网络拓扑及要求 任务一:建立三层交换机互联拓扑,A楼静态,B楼DHCP 任务二: ...

  7. VMware中配置NAT方式上网 by.zyw

    VMware中配置NAT方式上网 by.zyw 看了本站上众大神的VMware配置NAT方式上网的文章后,发现在本人电脑上并不能完全设置成功,在自己摸索后,虚拟机配置NAT方式上网成功,下列个人实际操 ...

  8. CentOS虚拟网络编辑器中VMnet8的NAT模式配置中将主机虚拟适配器连接到此网络一直无法配置成功

    CentOS虚拟网络编辑器中VMnet8的NAT模式配置中,将主机虚拟适配器连接到此网络选项勾选之后,点击应用或确定按钮,一直加载显示安装虚拟网络适配器,但就是不成功,原因是注册表项没有清理干净,造成 ...

  9. Cisco PIX防火墙配置命令大全

    Cisco PIX防火墙配置命令大全 来源: 作者:XUEYAN 出处:巧巧读书 2007-04-26 进入讨论组 关 键 词:子网掩码   协议   路由器   服务器   访问控制    一.PI ...

  10. cisco asa5520 基本配置一般网络机构来理解asa5520

    cisco asa5520 基本配置一般网络机构来理解asa5520 外网-----asa5520----分别是内网和dmz asa配置都在全局模式下配置,很多跟cisco路由交换的一样(大同小异) ...

最新文章

  1. 【推荐】MySQL Cluster报错及解决方法(不断更新中)
  2. AWS — AWS Wavelength
  3. 思考…求知(boolean和Boolean的区别)
  4. 最近公共祖先_LCA 最近公共祖先
  5. elasticsearch存储空间不足导致索引只读,不能创建
  6. ios键盘弹回时顶上去得页面不会回来
  7. ubuntu 强制结束 pycharm
  8. 2015Mac版飞秋无法接受文件夹!!!
  9. 台式计算机硬盘的安装位置,台式机装硬盘怎么安装_台式电脑硬盘安装教程-win7之家...
  10. 多年 iOS 开发经验总结
  11. [经典力学]牛顿自然哲学的数学原理论文解读
  12. BlackBerry7290软件安装——电子书阅读Mobipocket
  13. 经验:常见木马和未授权控制软件的关闭 3
  14. 【硬件深似海】磁珠选型规范
  15. 搜狗浏览器与IE9评测比较
  16. “互联网+地税大数据”提升淮安办税效能
  17. JDBC——“CRUD”
  18. 入门必看 | 三分钟教你学会操作台式万用表
  19. 【散分】庆祝自己的csdn博客突破100万访问量
  20. ORB特征描述原理、python实现及基于opencv实现

热门文章

  1. 检查linux是否安装rar,rarlinux的安装及使用
  2. aspectjweaver和aspectjrt的作用
  3. 2022,微博稳了吗?
  4. 怎么把电脑计算机桌面调出来,手把手教你电脑怎么设置屏保
  5. 服务器系统蓝牙驱动怎么安装,win7蓝牙驱动安装教程
  6. linux limbo镜像文件下载,limbo 2000镜像下载
  7. php ip纯真数据库Dat,PHP获取IP地址所在地信息的实例(使用纯真IP数据库qqwry.dat)
  8. win10系统安装SQLServer2008r2最全教程
  9. Cartoon CG:卡通渲染(开篇)
  10. 第五代移动通信技术(5G)