Cisco ASA NAT

Будут рассмотрены ряд моментов и тонкостей которые связаны с Cisco ASA

И так первый из них это PROXY-ARP

К примеру есть сеть /29 один адрес у провайдера второй ввешаем на Cisco ASA  , для того что б испольвать NAT  для оставшихся WAN адресов (а их у нас осталось еще 3 штуки) можно использовать proxy-arp  :

object network 172.16.3.226.80t
 host 172.16.3.226


object network 172.16.3.226.80t
 nat (inside,outside) static 62.138.X.X service tcp http http

 

Эта конфигурация для IP 62.138.X.X из  #nat (inside,outside) static 62.138.X.X service tcp http http  — Cisco будет слать ARP запросы от имени  IP 62.138.X.X как будто он прописан на ней (на любой запрос ARP к адресу 62.138.X.X  — Cisco будет отвечать что это я )

Иногда конечно же в этом нет необходимости — или даже это может мешать нормальной работе , это можно отключить так :

 

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp