คุณจะให้ ASA ประกาศที่อยู่ NAT'd 'ข้างนอก' ในโซน OSPF ได้อย่างไร

19

การจัดเรียงอุปกรณ์มีดังนี้:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

หากคุณมี ASA ที่มีประสิทธิภาพ NAT เพื่อระบุพื้นที่ที่ไม่ได้กำหนดเส้นทางแบบคงที่คุณจะได้รับที่อยู่ NAT'd ที่ประกาศในโซน OSPF เพื่อให้เราเตอร์ที่ด้านบน (Juniper MX5) รู้วิธีเข้าถึงได้อย่างไร

(FYI นี่เป็นส่วนที่ง่ายกว่ามากจากเครือข่ายที่ใหญ่กว่าเพื่อแสดงให้เห็นถึงส่วนประกอบที่เกี่ยวข้องในปัญหานี้)

ospf  cisco-asa 
SimonJGreen
แหล่งที่มา
เราเตอร์จูนิเปอร์มี IP ในซับเน็ตเดียวกันกับ 134.0.15.1 หรือไม่
PacketWrangler
@PacketWrangler ไม่ใช่เครือข่ายส่วนตัวที่มี OSPF เป็นโปรโตคอลการกำหนดเส้นทาง ฉันได้ปรับแต่งแผนภาพเพื่อความชัดเจน
SimonJGreen
หากคุณมี 10.0.1.0/24 ด้านหนึ่งและ 10.0.0.0/24 อีกด้านหนึ่ง 134.0.15.1 เหมาะสมกับการกำหนดเส้นทางของคุณอย่างไร?
พอลเกียร์
BGP ไปยัง MX5 จากนั้น OSPF ไปยังอุปกรณ์ภายใน นั่นคือคำถาม :)
SimonJGreen
ฉันจะถามได้ไหมว่าทำไมคุณถึงทำ NAT ใน ASA ดูเหมือนว่าสำหรับฉันคุณจะได้รับการบริการที่ดีขึ้นโดยใช้ 134.0.15.0/24 (สมมติว่าคุณมี / 24) บนโฮสต์ของคุณที่อยู่เบื้องหลัง ASA และหลีกเลี่ยง NAT จากนั้นแทน 10.0.0.254 ใน ASA "ข้างใน" คุณจะใส่ 134.0.15.254 แล้วกำหนดโฮสต์ของคุณ 134.0.15.1 จากนั้นกำหนดค่า OSPF บน ASA และจะโฆษณาว่ามี 134.0.15.0/24 ไปยัง MX5
PacketWrangler

คำตอบ:

16

โดยทั่วไปแล้วคุณจะติดตั้งเส้นทางแบบคงที่บนอุปกรณ์อัปสตรีม (Juniper MX5 ในตัวอย่างนี้) ชี้ไปที่ NAT นอกเครือข่ายแทนที่จะพยายามโฆษณาเครือข่ายจาก ASA อย่างน้อยนั่นคือสิ่งที่ฉันจะทำ

Jeremy Stretch
แหล่งที่มา
ตัวอย่างเช่นฉันสามารถตั้งค่า "พูล" ของที่อยู่สำหรับ NAT และเส้นทางแบบคงที่ให้กับพวกเขาจาก MX5 ได้หรือไม่ สเกลนี้มีขนาดเท่าใดสำหรับอุปกรณ์อัพสตรีมและตะวันออก <> ทางตะวันตกหากมีอุปกรณ์ดาวน์สตรีมอื่น ๆ ในโซน OSPF
SimonJGreen
1

เดิมทีฉันจะไม่โพสต์ที่นี่เพราะคำถามนี้ได้รับคำตอบ แต่หลังจากเห็นโพสต์อื่นของคุณเกี่ยวกับการย้ายเส้นทางแบบคงที่ไปยังเซสชัน OSPF ของคุณฉันคิดว่านี่อาจหลีกเลี่ยงปัญหานั้น

ใน ASA คุณสามารถสร้างเส้นทางแบบคงที่สำหรับพื้นที่ที่อยู่สาธารณะของคุณ (สมมติว่า 134.0.15.0/30) และแจกจ่ายเส้นทางนั้นใหม่ใน OSPF สมมติว่าคุณมีการกำหนดค่าที่เหมาะสมเพื่อสร้างเซสชัน OSPF ในอินเทอร์เฟซ "นอก" จากนั้นมันจะโฆษณาเส้นทางคงที่ทางทิศเหนือ

หมายเหตุ: นี่จะเป็นการโฆษณาเส้นทางไปยังเพียร์ใด ๆ บนอินเทอร์เฟซ "Inside" ด้วย นี่ไม่ควรเป็นปัญหานอกเหนือจากที่คุณเห็นในตารางเส้นทางของอุปกรณ์

bigmstone
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.