Come si ottiene un ASA per annunciare gli indirizzi NAT esterni a una zona OSPF?

19

La disposizione del dispositivo è la seguente:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Se hai l'ASA che esegue NAT per indirizzare lo spazio che non è instradato staticamente ad esso, come si ottengono gli indirizzi NAT dichiarati nella zona OSPF in modo che il router in alto (Juniper MX5) sappia come raggiungerlo?

(Cordiali saluti, questa è una porzione ampiamente semplificata di una rete molto più ampia, puramente per dimostrare i componenti coinvolti in questo problema)

ospf  cisco-asa 
SimonJGreen
fonte
Il router Juniper ha un IP nella stessa sottorete 134.0.15.1?
PacketWrangler
@PacketWrangler no è una rete privata con OSPF come protocollo di routing. Ho modificato il diagramma per chiarezza.
SimonJGreen
Se hai 10.0.1.0/24 da un lato e 10.0.0.0/24 dall'altro, come si inserisce 134.0.15.1 nel tuo percorso?
Paul Gear
BGP su MX5 e quindi OSPF su dispositivi interni. Questa è esattamente la domanda :)
SimonJGreen
Posso chiederti perché stai eseguendo NAT nell'ASA? Mi sembra che saresti meglio servito semplicemente usando 134.0.15.0/24 (supponendo che tu abbia un / 24) sui tuoi host dietro l'ASA ed evitassi NAT. Quindi invece di 10.0.0.254 sull'ASA "dentro", inseriresti 134.0.15.254 e assegneresti l'host 134.0.15.1. Quindi configura OSPF sull'ASA e pubblicizzerà che ha 134.0.15.0/24 sull'MX5.
PacketWrangler

Risposte:

16

In genere si installa una route statica sul dispositivo a monte (Juniper MX5 in questo esempio) che punta alla rete esterna NAT, anziché cercare di pubblicizzare la rete dall'ASA. Almeno, è così che ci vado sempre.

Jeremy Stretch
fonte
Quindi, per esempio, potrei mettere da parte un "pool" di indirizzi per NAT e route statica a loro dall'MX5? In che modo questa scala a più dispositivi a monte e anche a est <> ovest se ci sono altri dispositivi a valle nella zona OSPF?
SimonJGreen
1

Inizialmente non ho intenzione di postare qui perché questa domanda ha una risposta, ma dopo aver visto gli altri tuoi post sullo spostamento delle route statiche nella tua sessione OSPF ho pensato che ciò potesse aggirare il problema.

Nell'ASA puoi creare una route statica per il tuo spazio di indirizzi pubblico (diciamo 134.0.15.0/30) e ridistribuire quella route in OSPF. Supponendo che tu abbia la configurazione corretta per stabilire una sessione OSPF sull'interfaccia "Outside", allora pubblicizzerà la rotta statica verso nord.

Nota: questo pubblicizzerà anche il percorso verso tutti i peer nell'interfaccia "Inside". Questo non dovrebbe essere un problema diverso da quello che vedrai nelle tabelle di routing del dispositivo.

bigmstone
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.