Làm thế nào để bạn nhận được ASA để thông báo các địa chỉ 'bên ngoài' của NAT vào khu vực OSPF?

19

Sắp xếp thiết bị như sau:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Nếu bạn có ASA thực hiện NAT để giải quyết không gian không được định tuyến tĩnh đến nó, làm thế nào để bạn nhận được các địa chỉ NAT được thông báo đến khu vực OSPF để bộ định tuyến ở trên cùng (Juniper MX5) biết cách tiếp cận nó?

(FYI đây là một lát cắt được đơn giản hóa phần lớn từ một mạng lớn hơn nhiều hoàn toàn để chứng minh các thành phần liên quan đến vấn đề này)

ospf  cisco-asa 
SimonJGreen
nguồn
Bộ định tuyến Juniper có IP trong cùng mạng con với 134.0.15.1 không?
PacketWrangler
@PquetWrangler không có mạng riêng với w / OSPF làm giao thức định tuyến. Tôi đã điều chỉnh sơ đồ cho rõ ràng.
SimonJGreen
Nếu bạn đã có 10.0.1.0/24 ở một bên và 10.0.0.0/24 ở bên kia, làm thế nào 134.0.15.1 phù hợp với định tuyến của bạn?
Paul Gear
BGP đến MX5 và sau đó OSPF đến các thiết bị nội bộ. Đó chính xác là câu hỏi :)
SimonJGreen
Tôi có thể hỏi tại sao bạn làm NAT trong ASA không? Dường như với tôi, bạn sẽ được phục vụ tốt hơn chỉ bằng cách sử dụng 134.0.15.0/24 (giả sử bạn có / 24) trên các máy chủ của mình phía sau ASA và tránh NAT. Sau đó, thay vì 10.0.0.254 trên ASA "bên trong", bạn sẽ đặt 134.0.15.254 và sau đó chỉ định máy chủ của bạn 134.0.15.1. Sau đó định cấu hình OSPF trên ASA và nó sẽ quảng cáo rằng nó có 134.0.15.0/24 tới MX5.
PacketWrangler

Câu trả lời:

16

Thông thường, bạn sẽ cài đặt tuyến tĩnh trên thiết bị ngược dòng (Juniper MX5 trong ví dụ này) chỉ vào NAT bên ngoài mạng, thay vì cố gắng quảng cáo mạng từ ASA. Ít nhất, đó là cách tôi luôn đi về nó.

Jeremy căng
nguồn
Vì vậy, ví dụ, tôi có thể dành một "nhóm" địa chỉ cho NAT và tuyến tĩnh đến chúng từ MX5 không? Làm thế nào để mở rộng quy mô này cho nhiều thiết bị ngược dòng và cả phía đông <> phía tây nếu có các thiết bị hạ nguồn khác trong khu vực OSPF?
SimonJGreen
1

Ban đầu tôi sẽ không đăng lên đây vì câu hỏi này đã được trả lời, nhưng sau khi thấy bài đăng khác của bạn về việc chuyển các tuyến tĩnh vào phiên OSPF của bạn, tôi nghĩ rằng điều này có thể tránh được vấn đề đó.

Trong ASA, bạn có thể tạo tuyến tĩnh cho không gian địa chỉ công cộng của mình (Giả sử 134.0.15.0/30) và phân phối lại tuyến đó vào OSPF. Giả sử bạn có cấu hình phù hợp để thiết lập phiên OSPF trên giao diện "Bên ngoài" thì nó sẽ quảng cáo tuyến tĩnh phía bắc.

Lưu ý: Điều này cũng sẽ quảng cáo tuyến đến bất kỳ đồng nghiệp nào trên giao diện "Bên trong". Đây không phải là một vấn đề khác ngoài việc bạn sẽ thấy nó trong các bảng định tuyến của thiết bị.

đá lớn
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.