组网如下图
疑惑问题如下:
PC0去pingPC1的时候,数据包丢到ASA5505的 F0/1接口后 由于存在 nat(inside,outsid)所以进行了源转换;
数据包源成了 10.10.10.10 目的还是PC1,然后再从ASA丢到PC1。
PC1进行回复,源是自己 目的是10.10.10.10,这时候是发到网关;
然后这时,网关(在ASA上)收到PC的这个回复包,解下来该如何进行转发,顺序是什么?
这时候ASA上面有条路由:route inside 10.10.10.10 255.255.255.255 192.140.253.242 ,但好像数据包从网关发不出来了。
看转发的时候好像是没有匹配路由。
后续我修改了路由为:route inside 192.120.76.0 255.255.255.0 192.140.253.242,这时候PC0正常收到PC1的回复。
工程师们我想问下,ASA防火墙上 我配置了关于NAT部分的配置如下:
access-list outside_acl_in extended permit icmp any any
access-list inside_acl_in extended permit icmp any any
!
access-group inside_acl_in in interface inside
access-group outside_acl_in in interface outside
!
object network host_NAT_IP
nat (inside,outside) static 10.10.10.10
我想问的是,PC1的回复包 从网关(ASA上)发出去的时候 没经过F0/1(inside)接口前,就已经进行了NAT转换吗?然后才进行路由吗?
正常不应该是回复的包 经过路由 找到下一跳后,经过F0/1接口 这时候才会去匹配之前的 NAT会话表项 来进行转换吗?
麻烦用过思科设备的工程师们解答一下,我疑惑不解,感谢大家!!
