Lưu ý Nhớ lại từ Chương 7 mà ICMP là vốn không quốc tịch, với trả lời echo (từ
bên ngoài) đang được điều trị như các kết nối gửi đến. Các máy chủ bên ngoài luôn luôn trả lời với
địa chỉ nguồn dịch, và đây là lý do cho việc sử dụng tùy chọn đăng nhập trong ACL
tên là OUT. Bất cứ khi nào một ACE là hit, một thông báo đăng nhập được gửi đi, từ đó tiết lộ địa chỉ nhìn thấy
ở bên ngoài (sau khi dịch xảy ra).
Chú ý debug icmp dấu vết lệnh rất hữu ích cho việc phân tích các bản dịch và ICMP
kết nối thông qua các bức tường lửa. Nó được sử dụng rộng rãi trong các ví dụ sau đây.
Mẹo Trước khi bắt đầu bất kỳ ví dụ trình bày, các lệnh rõ ràng danh sách truy cập OUT
quầy, xlate rõ ràng, quầy nat rõ ràng, và rõ ràng địa phương chủ tất cả đã được ban hành.
Năng động, NAT
Các tùy chọn đầu tiên được phân tích là Dynamic NAT, mà bản đồ một nhóm bên trong (thực)
địa chỉ nguồn (được xác định bởi các lệnh nat) đến một hồ bơi của địa chỉ nguồn dịch
(được xác định bởi lệnh toàn cầu). Các tham số liên kết với hai hồ này là một khác không
giá trị cho số hồ bơi, như trong Ví dụ 8-3.
ASA lựa chọn ngẫu nhiên một địa chỉ từ các hồ bơi toàn cầu và liên kết nó với địa chỉ kết nối khởi (thuộc hồ nat ). Sau thời gian chờ xlate hết hạn, điều này
lập bản đồ được lấy từ các bảng dịch, và không có đảm bảo rằng ban đầu
chủ bên trong (laddr) sẽ được chỉ định địa chỉ toàn cầu cùng (gaddr) sau một outbound mới
cố gắng kết nối.
đang được dịch, vui lòng đợi..