CISCO-ASA--Hairpinning-NAT配置.doc

一、5510/5520系列配置 1、same-security-traffic permit intra-interface !--- 启用Hairpinning功能，允许流量直接原路径返回。 2、nat (inside) 1 192.168.100.0 255.255.255.0 !--- 为内网用户访问公网定义NAT。 3、global (outside) 1 interface !--- 为内网用户访问公网定义global地址。 4、global (inside) 1 interface !--- 为内网用户使用Hairpinning访问内部服务器定义global地址。 5、static (inside,outside) 8.8.8.8 192.168.1.8 netmask 255.255.255.255 !--- 使用Static NAT映身一台服务器，公网IP 8.8.8.8，内网IP 192.168.1.8。 6、static (inside,inside) 8.8.8.8 192.168.1.8 netmask 255.255.255.255 !--- 为Hairpinning流量返回路径定义NAT映射：8.8.8.8 ----> 192.168.1.8。 7、access-list outside_access_in extended permit tcp any host 8.8.8.8 eq 80 !--- 配置ACL对外发布WWW服务，端口为80。 8、access-group outside_access_in in interface outside !--- 将ACL应用到外部接口。 二、5515X系列配置： 1、公网映射配置： object network 10.0.0.1:80 host 10.0.0.21 object network 10.0.0.1:80 nat (inside,outsode) static 100.100.100.1 service tcp www www access-list internet-in extended permit tcp any host 10.0.10.21 eq www access-group internet-in in interface internet 2、内网通过公网地址访问内网服务器配置： same-security-traffic permit intra-interface object network my-test subnet 10.1.0.0 255.255.255.0 (用户PC网段) nat (inside,inside) dynamic interface object network test host 10.0.0.1 (服务器IP) nat (inside,inside) static 100.100.100.1 service tcp www www