ASA 上的 NAT的先后顺序:

interface Ethernet0/0

 nameif outside
 security-level 0
 ip address 218.5.165.202 255.255.255.248
!

global (outside) 10 interface

nat (inside) 10 0.0.0.0 0.0.0.0

static (inside,outside) tcp 218.5.165.203 www 192.168.10.16 www netmask 255.255.255.255

static (inside,outside) tcp 218.4.165.203 ftp 192.168.10.16 ftp netmask 255.255.255.255

那么 后面这两个命令端口映射的可以生效么?可以使内部的这个机器访问出去的公网IP是218.5.165.203么?

不全是的,但是 从内网的这两个机器 192.168.10.16 出去的数据就还是选择以前的dynamic NAT了。 因为这个是单向的。只能是匹配从外面到里面的访问

解放方法:

第一种:

static (inside,outside) 218.5.165.203 192.168.10.16

这个是双向的,不管是从内到外,还是从外到内都可以执行

第二种:

nat (inside) 6 spacer.gif192.168.10.16 spacer.gif255.255.255.255

global (outside) 6 spacer.gif218.5.165.203

总结:

ASA上的NAT是有先后顺序和方向的,应该显示 static的 然后在是dynamic的;但是基于static的端口的是有限制的,不是双向的