CiscoASAHairpinning技术解决内网通过公网IP访问内网服务器问

用户 需求： ASA 目前使用 inside 、 outside 两个接口，无 DMZ 区域，目前 服务器 地址 192.168.1.244 通信端口 8080 ；本地测试客户端的 ip 地址是 192.168.1.100 ； 通过 静态的 NAT 后 ip 是 218.17.199.108 ，外网映射端口是 56123 。做完常规的 STAICN

用户 需求：

ASA 目前使用 inside 、 outside 两个接口，无 DMZ 区域，目前 服务器 地址 192.168.1.244 通信端口 8080 ；本地测试客户端的 ip 地址是 192.168.1.100 ； 通过 静态的 NAT 后 ip 是 218.17.199.108 ，外网映射端口是 56123 。做完常规的 STAIC NAT 后，测试情况如下：

公网测试： http://218.17.199.108:56123/Gwall_osa 是成功的

本地测试： http://218.17.199.108:56123/Gwall_osa 不成功

目的就是要 解决 本地测试 http://218.17.199.108:56123/Gwall_osa ，能正常 访问 ，数据能交互。 ASA 防火墙使用 Hairpinning 技术 来 解决 内网 PC 通过 公网 IP 来 访问 内网的 服务器 的 问题 。如下拓扑：

650) this.width=650;" title="eee.jpg" src="http://cdn.verydemo测试数据/upload/2013_06_01/13700452961790.jpg" />

IOS 8.3 以前版本的 Hairpinning 技术 相关配置如下：

1 、 same-security-traffic permit intra-interface // 允许同一接口发起进出口流量

2 、 nat (inside) 1 0.0.0.0 0.0.0.0

3 、 global (outside) 1 interface// 源 NAT 允许所有上网

4 、 global (inside) 1 interface

// 为内网用户使用 Hairpinning 访问 内部 服务器 定义 global 地址。

5 、 static (inside,outside) 218.17.199.108 192.168.1.244 netmask 255.255.255.255

// 使用 Static NAT 映身一台 服务器 ，公网 IP218.17.199.108 -->IP 192.168.1.244 。

6 、 static (inside,inside) 218.17.199.108 192.168.1.244 netmask255.255.255.255

// 为 Hairpinning 流量返回路径定义 NAT 映射： 218.17.199.108 ― ->192.168.1.244

7 、 access-list outside_access_in extended permit tcp any host218.17.199.108 eq 56123

放行流量 , 应用在 outside 的口。

IOS 8.3 以后版本的 Hairpinning 技术 相关配置如下：

same-security-traffic permitintra-interface

// 允许同一接口发起进出口流量

object network ser1

host 192.168.1.244

nat (insdie,outside) sta 218.17.199.108 sertcp 56123 8080

// 保证公网能 通过 映射 访问 内部 服务器

object network my-test1

subnet 10.1.0.0 255.255.255.0

nat(inside,inside) dynamic interface

object network my-test1

subnet 10.2.0.0 255.255.255.0

nat(inside,inside) dynamic interface

object network my-test3

subnet192.168.1.0 255.255.255.0

nat(inside,inside) dynamic interface

object network test

host192.168.1.244 ( 服务器 IP)

nat(inside,inside) static 218.17.199.108 service tcp 8080 56123

放行 ACL 流量

access-list outside_access_in extendedpermit tcp any host 218.17.199.108 eq 56123

access-group outside_access_in in inoutside

yeexw” 博客，转载请与作者联系！

查看更多关于CiscoASAHairpinning技术解决内网通过公网IP访问内网服务器问的详细内容...