Cisco 5506公共IP在DMZ
Cisco 5506公共IP在DMZ
提问于 2016-12-07 11:46:50
我正在运行ASA 5506 (9.6)。我有两个知识产权范围1.35.133.88/29和1.35.135.176/29。我在路由器里设置了路线。我有一个外部接口,1.35.133.90。我有一个DMZ接口,1.35.135.178。
下面可以找到配置:
!
interface GigabitEthernet1/1
nameif outside
security-level 0
ip address 1.35.133.90 255.255.255.248
!
interface GigabitEthernet1/2
nameif mgmt
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet1/3
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0
!
interface GigabitEthernet1/4
nameif dmz
security-level 50
ip address 1.35.135.178 255.255.255.248
!
object network DMZInternet
subnet 1.35.135.176 255.255.255.248
access-list outside_access_in extended permit icmp any any log debugging
access-list outside_access_in extended permit ip any host 1.35.135.179 log debugging
access-list outside_access_in extended permit icmp any object DMZInternet
object network EdgeServer
nat (dmz,outside) static 1.35.135.179
access-group outside_access_in in interface outside
access-group nonat in interface dmz
access-group global_access global
route outside 0.0.0.0 0.0.0.0 1.35.133.89 1
route inside 192.168.0.0 255.255.255.0 10.0.0.2 1
route outside 0.0.0.0 0.0.0.0 1.35.133.93 tunneled我想在主机上使用公共IP地址,但我不明白为什么会失败。如果我从我的Cisco C881路由器运行ping命令,它不会通过ASA收回公共IP地址。
我在这里做错什么了?
回答 2
Server Fault用户
发布于 2016-12-07 15:12:04
好的,我发现了所有问题的问题。ISP将第二个IP范围路由到他们的广域网地址,而不是内部ASA网关。
Server Fault用户
发布于 2016-12-07 13:19:51
如果您试图让DMZ服务器通过NAT响应公共IP,则可以设置代理arp并在外部接口的mac上配置arp条目--如下所示:
在1.35.135.179别名之外的arp (假设IP是您试图发布的)。
然后,您可以将对象NAT到DMZ服务器IP地址。
您可能还需要清除路由器上的arp缓存,以加快进度。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/819251
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号