Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Нат на ASA 5505 9.2

Добрый день, продлил smartnet и перешел с прошивки 8.2.5 АSА 5505 Версия 9.2.4. И понял что не могу сладить с простой задачей по нату!


Задача следующая. Сип провайдер провёл свой кабель с внутренней сеткой внутри. И выдал следующие адреса: 10.163.94.1 адрес  сип сервера заказчика,  10.163.94.107 – адрес для нашей цифровой АТС.
Сип сервер принимает траффик только с адреса 10.163.107. Наша АТС с любого адреса, в общем то. Но имеет два интерфейса. Управляющий и голосовой. На управляющий интерфейс  192.168.32.4 должен приходить траффик от Сип сервера по 5060 порту. На голосовой интерфейс должен приходить траффик от того же Сип сервера но по портам 7200-7236.

Сип сервер провайдера за интерфейсом Outside 0/0. 
Наша АТС во внутренней сети за интерфейсом Inside 0/7 

interface Ethernet0/0 
switchport access vlan 10 

interface Ethernet0/7 
switchport access vlan 100 

interface Vlan10 
nameif outside 
security-level 0 
ip address 10.163.94.107 255.255.255.0 

interface Vlan100 
nameif inside 
security-level 0 
ip address 192.168.100.10 255.255.255.252 


object network SRV-MGFN-SIP
 host 10.163.94.1
object network ATS-MGMT
 host 192.168.14.251
object network ATS-VOIP
 host 192.168.23.4
object service 5060
 service tcp source eq sip destination eq sip
object service 7200-7236
 service udp source range 7200 7236 destination range 7200 7236
object-group network IP_ATS
 network-object object ATS-VOIP
 network-object object ATS-MGMT


Для управляющего ATS-VOIP сделал обжект нат для порта 5060
object network ATS-MGMT
 nat (inside,outside) static interface no-proxy-arp service tcp 5060 5060

Для голсового ATS-VOIP  тоже обжект нат для всех остальных портов
object network ATS-VOIP
 nat (inside,outside) static interface no-proxy-arp

Для того чтобы на сип сервер ходили данные с обоих портов АТС с подменой из адресов сорс ATS-MGMT и ATS-VOIP  на адрес SRV-MGFN-SIP   сделал динамический афтер нат:
nat (inside,outside) after-auto source static IP_ATS interface destination static SRV-MGFN-SIP SRV-MGFN-SIP unidirectional no-proxy-arp

Вроде бы работает. Но вопрос в следующем.
Обжект наты выглядят не спортивно совсем. К тому же не позволяют указать диапазоны адресов, пришлось сделать для ATS-VOIP все порты на трансляцию. И не получается подменять адрес  источника, а хотелось бы. И менять эти правила местами нельзя! Их расположение в списке и обработка зависит от старшинства айпи адреса!! Ерунда какая то!

Сделать эти наты мануал натом не получается, хоть делал мануал прямо и как копию обжект ната. 

В общем как то это не грамотно выглядит всё равно.. 
Помогите обжект нат(Ауто) заменить на мануал(outside,inside)! 

А эти дурацкие Auto natы даже местами нельзя поменять! порядок зависит от старшенства айпи адреса объекта! ИЛИ МОЖНО?

 

62
Просмотры
0
Полезный материал
0
Ответы
СоздатьДля создания публикации, пожалуйста в систему