В данной статье раскрывается тема настройки NAT на cisco и проброса портов до внутренних ресурсов сети организации. Например, это может быть сервер web-сайта, сервер FTP или другой сервис к которому необходимо организовать доступ из вне.
Рекомендую ознакомиться с задачей по настройке static NAT Cisco ASA.
Задача.
Имеется два WAN источника.
Необходимо сделать доступность к FTP Server 192.168.0.10 c обоих WAN по 21 порту.
# Объявляем интерфейсы WAN1, WAN2, LAN.
interface GigabitEthernet0/1 nameif WAN1 security-level 0 ip address 1.1.1.1 255.255.255.0 interface GigabitEthernet0/2 nameif WAN2 security-level 0 ip address 2.2.2.2 255.255.255.0 interface GigabitEthernet0/0 nameif LAN security-level 0 ip address 192.168.0.1 255.255.255.0
# Создаем объект FTP с 21 tcp портом.
object service FTP service tcp destination eq 21
# Создаем объект — наш локальный сервер, для которого нужно пробросить 21 порт. Для каждого WAN — отдельно.
object network Ftp_Server_to_WAN1 host 192.168.0.10 object network Ftp_Server_to_WAN2 host 192.168.0.10
# Адреса WAN.
object network WAN1_IP host 1.1.1.100 object network WAN2_IP host 2.2.2.100
# Правило NAT по которому мы получаем доступность до нашего сервера с обоих WAN.
object network Ftp_Server1 nat (LAN,WAN1) static Ftp_Server_to_WAN1 service tcp ftp ftp object network Ftp_Server2 nat (LAN,WAN2) static Ftp_Server_to_WAN2 service tcp ftp ftp
# Правила фильтрации.
access-list WAN1_access_in extended permit tcp any any access-list WAN2_access_in extended permit tcp any any access-list LAN_access_in_1 extended permit tcp 192.168.0.0 255.255.255.0 1.1.1.0 255.255.255.0 access-list LAN_access_in_1 extended permit tcp 192.168.0.0 255.255.255.0 2.2.2.0 255.255.255.0