Cisco ASA Hairpinning技术解决内网通过公网IP访问内网服务器问

用户 需求： ASA 目前使用 inside 、 outside 两个接口，无 DMZ 区域，目前 服务器 地址 192.168.1.244 通信端口 8080 ；本地测试客户端的 ip 地址是 192.168.1.100 ； 通过 静态的 NAT 后 ip 是 218.17.199.108 ，外网映射端口是 56123 。做完常规的 STAICN

用户需求：

ASA目前使用inside、 outside 两个接口，无DMZ区域，目前服务器地址192.168.1.244 通信端口8080；本地测试客户端的ip地址是192.168.1.100；通过静态的NAT后ip是218.17.199.108，外网映射端口是56123。做完常规的STAIC NAT后，测试情况如下：

公网测试：http://218.17.199.108:56123/Gwall_osa是成功的

本地测试：http://218.17.199.108:56123/Gwall_osa不成功

目的就是要解决本地测试http://218.17.199.108:56123/Gwall_osa，能正常访问，数据能交互。ASA 防火墙使用Hairpinning技术来解决内网PC通过公网IP来访问内网的服务器的问题。如下拓扑：

 

IOS 8.3以前版本的 Hairpinning技术相关配置如下：

1、same-security-traffic permit intra-interface //允许同一接口发起进出口流量

2、nat (inside) 1 0.0.0.0 0.0.0.0

3、global (outside) 1 interface//源NAT允许所有上网

4、global (inside) 1 interface

// 为内网用户使用Hairpinning访问内部服务器定义global地址。

5、static (inside,outside) 218.17.199.108 192.168.1.244 netmask 255.255.255.255

//使用Static NAT映身一台服务器，公网IP218.17.199.108 -->IP 192.168.1.244。

6、static (inside,inside) 218.17.199.108 192.168.1.244 netmask255.255.255.255

//为Hairpinning流量返回路径定义NAT映射：218.17.199.108 ―->192.168.1.244

7、access-list outside_access_in extended permit tcp any host218.17.199.108 eq 56123

放行流量,应用在outside的口。

 

IOS 8.3以后版本的 Hairpinning技术相关配置如下：

same-security-traffic permitintra-interface

//允许同一接口发起进出口流量

object network ser1

host 192.168.1.244

nat (insdie,outside) sta 218.17.199.108 sertcp 56123 8080 

//保证公网能通过映射访问内部服务器

object network my-test1

subnet 10.1.0.0 255.255.255.0 

nat(inside,inside) dynamic interface

object network my-test1

subnet 10.2.0.0 255.255.255.0 

nat(inside,inside) dynamic interface

object network my-test3

subnet192.168.1.0 255.255.255.0 

nat(inside,inside) dynamic interface

object network test

host192.168.1.244 (服务器IP)

nat(inside,inside) static 218.17.199.108 service tcp 8080 56123

放行ACL流量

access-list outside_access_in extendedpermit tcp any host 218.17.199.108 eq 56123

access-group outside_access_in in inoutside

yeexw” 博客，转载请与作者联系！