ASA动态PAT注意点
asa上做动态pat:PAT是一个IP地址和一个源端口号的结合来创建一个惟一对话,PAT对所有的包使用相同的IP地址,但是它可以通过源端口号的不同来区分,其端口取值范围大于1024.
例:
nat (inside) 1 0.0.0.0
global (outside) 1 interface
则从内部发起第一个telnet连接,show xlate,可以观察到,从内部发起连接端口号随机,本地全局地址的端口为1024,以后再发起连接,端口号依此类推。对于icmp的连接不符合本规则,因为icmp不能产生状态,它后面跟的也不是端口号,只是一个转换过程中应用的一个号而己。
通过上面的推论,从外部向内部发起一个ssh连接,不会发生错误,asa不会认为访问自己的Outside接口就是要访问自己内网的某台设备,因为ssh连接目的端口号22,小于1024,asa认为这不是pat的映射。所以顺利连接到asa设备上。 Thanks for your information.
页:
[1]