Come fa l'ASA a nattare un ip interno che non ha connesso?

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
alessio82
n00b
Messaggi: 14
Iscritto il: mar 10 ago , 2010 11:20 am

Ciao,

ho bisogno che qualcuno mi spieghi una cosa che proprio non riesco a capire:


Ho un'Asa così configurato:

interface Ethernet0/0
nameif DMZ
security-level 100
ip address 172.16.25.1 255.255.252.0

interface Ethernet0/2
nameif OUTSIDE
security-level 0
ip address 9.142.30.41 255.255.255.0

static (DMZ,OUTSIDE) 9.142.30.20 172.16.74.13 netmask 255.255.255.255

route DMZ 172.16.74.0 255.255.252.0 172.16.25.12 1

Il 172.16.25.12 è un firewall watchguard che non fa NAT ed ha un'acl aperta in ingresso per l'ip 172.16.74.13.

Il watchguard è direttamente connesso allo switch L3 che crea la vlan 172.16.74.0/24.

Quello che non riesco a capire è il motivo per cui funziona tutto correttamente senza fare il doppio NAT, ovvero dal 172.16.74.13 ad un ip della DMZ (NAT col Watchguard) e da questo IP della DMZ all'IP pubblico 9.142.30.20.

Come fa l'asa a nattare un ip interno che non ha direttamente connesso e ha tenerne traccia nelle connessioni dall'esterno(internet)?
Top
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:
Contatta TheIrish

Chiedo scusa, puoi fare un piccolo schema?
Detta così sembra una semplice questione topologica, ma non voglio dire scemenze, quindi un piccolo schema non guasterebbe...
Top
alessio82
n00b
Messaggi: 14
Iscritto il: mar 10 ago , 2010 11:20 am

Ecco lo schema allegato...
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Top
Rispondi

Torna a “Configurazioni”