Возможно ли настройка Cisco ASA 5510 c «белыми» IP адресами из одной подсети?

Question

[Zueuk]

Есть набор "белых" IP-адресов из одной подсети (для примера буду использовать частные адреса):

172.16.136.72-76 (внешние адреса), маска /24

На каждый внешний ip надо настроить правила для внутреннего сегмента сети. Из прочитанной документации стало понятно, что нужны правила NAT-для исходящих подключений.

Как настроить правила для входящих подключений? Ведь ASA не даёт разным интерфейсам задавать IP-адреса из одной подсети.

Версия прошивки asa915-k8.bin.

172.16.136.72 - резервный;
172.16.136.73 - резервный;
172.16.136.74 - для соединения внешних клиентов на внутренние ресурсы 10.0.154.0/29;
172.16.136.75 - для внутренних клиентов, доступ в Интернет, сегмент 10.1.154.0/24;
172.16.136.76 - резервный;
172.16.136.1 - шлюз провайдера

Answer 1

[Максим Гришин]

Хм. Натишь одну подсеть на .74, вторую на .75 обе с включенным PAT, должно хватить.

То есть идешь в ASDM (с ним проще, а синтаксис правил для асы я не знаю) firewall -> NAT rules, создаешь правило source interface соответствующий внутренней подсети, destination interface outside, packet source 10.0.154.0/29 destination any, ставишь ему адрес куда транслировать и режим трансляции Dynamic PAT (Hide). То же для второй сети, меняешь выходной IP-адрес, сеть источника и интерфейс если надо.

Answer 2

[Zueuk]

Спасибо за подсказку, разобрался. Вот пример настройки:

И в виде команды:

nat (outside,lan) source dynamic any interface destination static WAN_IP_75 LAN_WIN7