CSC公开课第二期.docxVIP

下载本文档

103
0
约5.1千字
约 4页
2017-06-14 发布于天津
举报
版权申诉

CSC公开课第二期.docx

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

CSC公开课第二期.docx

CSC公开课第二期在ASA 8.2x和9.x中对NAT的不同处理及failover升级的零停机问题解答列表：问：HI,老师，问下，策略ANT时，一般源地址不一致的情况下，是无法调用的，但一旦调用后在（就是先写ACL，在调用，如果源地址不一致，会提示报错，）写ACL就可以了，但重启会丢失，有时客户老是配错，导致重启后业务就有问题了，有什么办法可以提示吗？答：肯定要先写ACL。报错，说明 NAT 语法有问题，能否把报错的信息提供一下，谢谢。问：同样的ACL，其源地址可能写成不一样的答：同样的ACL 不可以的，做2次不同的NAT ，如果需要增加ACL 需要重新做。不能后期加ACL，这也为什么重启后就出问题，我们必须按照标准的配置语法配置。谢谢问：这个我知道，呵呵，就是经常会发现客户在维护的过程中，会增加ACL，例如上面的，，但他可以写上去，，重启后会丢失，我就想问下，有没有啥机制，可以提示配置者？答：那我清楚您的问题了，确实不会报错，暂时没有什么解决方法。谢谢。问：Dyname PAT 對外開8080 ，內部服務是HTTP這個NAT Session 會正常嗎? 答：会正常的，外部client访问 8080 ，防火墙重定向到里面服务器的http问：static (inside,outside) ，这个是怎么匹配的？比如7转换成，转成，我内网坏了，转出去的时候是转成还是？还有我如果想地址一一对应，有什么办法？答：这种配置就是一一对应， 1对1 3对3 。当 escalate timeout 掉后，会归还给ANT POOL 这是其它ip就会使用问：请问内网inside 和outside 都是公网，需要做PAT用什么方法做比较好。如果是多对一，但是内网和外网都是公网的IP地址。答：这个主要看实际的应用，和客户的需求。如果要双向访问，那么必须要做static问：请问端口号能定义一段范围吗？比如将的端口2000-3000 映射到的2000-3000答：可以的问：ASA可以用内网端口与远端设备做IPSec吗？答：不可以问：你好，nat (inside,any) source static obj- obj- destination static obj- obj- no-proxy-arp route-lookup 里面的no-proxy-ar和route-lookup的作用？答：no-proxy-arp. (Optional) For static NAT, disables proxy ARP for incoming packets to the mapped IP addresses. route-lookup (Optional) For identity NAT in routed mode, determines the egress interface using a route lookup instead of using the interface specified in the NAT command. If you do not specify interfaces in the NAT command, a route lookup is used by de问：那identity 与豁免NAT有什么区别呢答：免除NAT 可以有更大的部署灵活性,可以使用policy nat配合使用问：VPN感兴趣流量在 8.3以后是不是要用twice nat匹配？答：是的。替代以前的NAT 0 + ACL问：还有两个level 都是50的 DMZ1,2 只需要same-secrity-traffice permit inter 就可以了吗？答：对的问：object name abc and object name ABC哪个优先？答：Within each rule type, the following ordering guidelines are used:a. Quantity of real IP addresses—From smallest to largest. For example, an object with one address will be assessed before an object with 10 addresses.不分大小写，名字相同就看先后顺序问：object name abc and object name ABC哪个优先？刚亲测，大写优答：b. For quantities that are the same, then the IP address number is used, from lowest to highest. For example,