上海IT外包服务网

ASA的Inside区域和DMZ区域都有一个冲突网段192.168.100.0/24，现在要实现两个冲突网段都能互通，配置如下：

ASA配置：
interface ethernet0/0
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0
!
interface ethernet0/1
nameif dmz
security-level 50
ip address 10.1.1.1 255.255.255.0
!
static (inside,dmz) 10.1.2.0 192.168.100.0 netmask 255.255.255.0 //把inside端的192.168.100.0/24网段映射到dmz区域的10.1.2.0/24网段。
static (dmz,inside) 10.1.3.0 192.168.100.0 netmask 255.255.255.0 //把dmz端的192.168.100.0/24网段映射到inside区域的10.1.3.0/24网段。
route dmz 192.168.100.128 255.255.255.128 10.1.1.2 1 //192.168.100.0/24网段拆分成两个更明细网段，把流量抛向路由器，因自己有个192.168.100.0/24直连网段。
route dmz 192.168.100.0 255.255.255.128 10.1.1.2 1 //把192.168.100.0/24网段拆分成两个更明细网段，把流量抛向路由器，因自己有个192.168.100.0/24直连网段。

路由器配置：
interface f0/0
ip address 10.1.1.2 255.255.255.0
!
interface f0/1
ip address 192.168.100.1 255.255.255.0
!
ip route 10.0.2.0 255.255.255.0 10.1.1.1 //把10.0.2.0/24流量抛向ASA

测试：
ASA的inside端口连接PC1，IP是192.168.100.2/24。
路由器的F0/1端口连接PC2，IP是192.168.100.2/24。
测试PC1和PC2的连通，在PC1上ping 10.1.3.2，通。
测试PC2和PC1的连通，在PC2上ping 10.1.2.2，通。

原理分析：(我这里有疑问)
例如PC1访问PC2，中间过程如下。
去方向：
1-PC1发起到PC2的连接，源地址是192.168.100.2，目标地址是10.1.3.2。PC1发现该流量目标地址是和自己地址不同网段，该流量发往到网关192.168.100.1。
2-该流量发送到了ASA，ASA根据NAT设定，把原地址192.168.100.2转换成10.1.2.2，目标地址转换成192.168.100.2，再查路由表，根据上面设定的更明细路由，把该流量发往路由器。
3-该流量发送到了路由器，路由器再把该流量发送到了PC2。
回方向：
1-PC2返回流量到PC1，源地址是192.168.100.2，目标地址是10.1.2.2。PC2发现该流量目标地址是和自己地址不同网段，该流量发送到网关192.168.100.1。
2-该流量发送到了路由器，路由器再根据路由把该流量发往ASA。
3-该流量发送到了ASA，ASA根据NAT设定，把原地址192.168.100.2转换成10.1.3.2，目标地址转换成192.168.100.2，再查路由表，看目标流量192.168.100.2怎么走，这里我觉得问题就出现了，因为ASA到192.168.100.2的更明细路由是抛向路由器10.1.1.2，这样该流量又抛向路由器10.1.1.2，根据设备机制，流量从一个端口进又立马从该端口回，该流量丢弃，不转发，这样去往PC1的流量永远都到不了PC1，当然也不会再转回到PC2。

针对该实验，我觉得NAT运行机制的理解非常重要。
上述TOP我测试过，发现PC1和PC2相互都可ping通，但是按照我上述分析，觉得这样做该不会通，那问题就出在我对上述过程的分析错误。
大家一起来帮忙细致分析下该过程，算是帮我，也是帮自己更好的理解NAT机制。