Cisco Static NAT con route-map

Aggiornare:

Sembra che le mappe delle rotte corrispondano solo agli indirizzi IP, non alle porte. Questa settimana ha avuto un'altra situazione su un dispositivo, un modello e una versione software diversi. Ho finito per cambiare le istruzioni NAT in:

ip nat dentro sorgente statica tcp 192.168.1.20 3389 xxxx 3389

Ho quindi limitato l'accesso in base a un ACL piuttosto che a una mappa del percorso. Sarebbe stato bello definire NATing condizionale, ma sembra che non funzioni.

Quindi abbiamo una configurazione di box NAT piuttosto standard per offrire una soluzione NAT ospitata per un numero di clienti.

Ecco la topologia di base:

Software Cisco IOS, software C2900 (C2900-UNIVERSALK9-M), versione 15.2 (4) M3, SOFTWARE DI RILASCIO (fc2)

Il problema che ho è a che fare con la sezione della mappa del percorso delle istruzioni NAT.

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

ip access-list extended Customer1-forwarding-acl
 permit tcp host 10.1.10.201 host a.a.a.a eq 22
 permit tcp host 10.1.10.201 host b.b.b.b eq 22

route-map Customer1-portforwarding permit 10
 match ip address Customer1-forwarding-acl

Credo di avere la comprensione corretta della mappa del percorso. Ha lo scopo di designare ciò che è permesso a NAT e ciò che non lo è. In pratica sto cercando di configurarlo per consentire solo traduzioni da specifici indirizzi pubblici. Non sembra farlo. Sembra consentire traduzioni da qualsiasi indirizzo pubblico.

Ho cambiato completamente l'ACL in un'istruzione 'nega ip qualsiasi' e mi consente ancora. Sono un po 'perplesso. Sembra che la mappa del percorso non stia facendo nulla.

Qualsiasi aiuto sarebbe molto apprezzato!

Saluti,

H

credo che il problema sia nella stessa configurazione VRF, quindi controlla il prossimo
1. configura 'ip vrf forwarding Customer1-portforwarding' sotto interfacce coinvolte in NAT (nat inside, nat outside interfaces)
2. se la tua lista di accesso utilizzerà il Tabella di routing VRF, quindi è necessario aggiungere il comando 'set vrf Customer1-portforwarding' nella configurazione della mappa del percorso per utilizzare la tabella di routing VRF
3. Rendere la propria mappa del percorso più specifica impostando l'hop successivo
4. Verificare NATing usando 'sh ip comando nat translation '

utilizzare quegli URL
NAT su VRF
Mappa del percorso su VRF

Mi rendo conto che questo post è vecchio ma volevo dare seguito a questo, nel caso in cui hai questo problema in giro.

Sono solo curioso di sapere se l'indirizzo IP su cui stai provando questo NAT, al di fuori del mondo, si trova sullo stesso VRF del client. In tal caso, potresti provare: match-in-vrf

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding match-in-vrf

Vorrei anche provare altri due metodi: 1.) modificare l'ACL per la route map, in modo da avere la stessa fonte dell'IP che si desidera NAT anche su di essi. Se leggiamo da sinistra a destra sulle regole NAT, potrebbe non analizzarlo fino a quando non si verifica la traduzione. 2.) prova ip nat fuori dal sorgente static tcp ... Non sono sicuro di quale funzionerebbe, ma sarebbe bello vedere un debug come il seguente:

access-list 99 permit host 10.1.10.201
access-list 99 permit host x.x.x.x
!
debug ip nat 99
!
terminal length 0
!
show log

Prova a rimuovere la porta 22 da:

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

Nell'istruzione NAT stai indicando che la porta SOURCE è 22 sull'indirizzo interno, ma sul tuo ACL metti "eq 22" sul lato DESTINATION. Prova a rimuovere "eq 22" dal tuo ACL di routemap o mettilo dalla parte corretta (sorgente) per abbinare la tua dichiarazione NAT.

Sembra che la mappa del percorso abbia alcuni problemi. Non sono stato in grado di risolvere ulteriormente i problemi.