Як змусити ASA оголосити NAT 'зовнішні' адреси в зоні OSPF?

Розташування пристрою наступне:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Якщо у вас ASA виконує NAT для адресного простору, який не є статично маршрутизованим до нього, як ви отримуєте NAT'd адреси, оголошені в зоні OSPF, щоб маршрутизатор вгорі (Juniper MX5) знав, як його досягти?

(FYI - це значною мірою спрощений фрагмент із значно більшої мережі, щоб лише продемонструвати компоненти, що беруть участь у цій проблемі)

ospf cisco-asa

— SimonJGreen
джерело

Чи має маршрутизатор Juniper IP в тій самій підмережі, що і 134.0.15.1?

— PacketWrangler

@PacketWrangler ні, це приватна мережа без OSPF як протокол маршрутизації. Я налаштував діаграму для наочності.

— SimonJGreen

Якщо у вас 10.0.1.0/24 з одного боку та 10.0.0.0/24 з іншого, як 134.0.15.1 взагалі вписується у вашу маршрутизацію?

— Пол Гір

BGP на MX5, а потім OSPF на внутрішні пристрої. Ось саме питання :)

— SimonJGreen

Чи можу я запитати, чому ви робите NAT в ASA? Мені здається, вам краще послужити, просто скориставшись 134.0.15.0/24 (якщо припустити, що у вас є / 24) для ваших хостів позаду ASA та уникнути NAT. Тоді замість 10.0.0.254 на ASA "всередині" ви поставите 134.0.15.254, а потім призначите своєму хосту 134.0.15.1. Потім налаштуйте OSPF на ASA, і це буде рекламувати, що він має 134.0.15.0/24 для MX5.

— PacketWrangler

Відповіді:

Зазвичай ви встановлюєте статичний маршрут на верхньому пристрої (Juniper MX5 у цьому прикладі), що вказує на зовнішню мережу NAT, а не намагається рекламувати мережу з ASA. Принаймні, так я завжди про це йду.

— Джеремі Стретч
джерело

Так, наприклад, я міг би відкласти "пул" адрес для NAT і статичний маршрут до них з MX5? Як цей масштаб застосовується до декількох пристроїв вище за течією, а також на схід <> захід, якщо в зоні OSPF є інші пристрої нижче за течією?

— SimonJGreen

Спочатку я не збирався публікувати тут, тому що на це питання відповіли, але, побачивши ваш інший пост про переміщення статичних маршрутів у сесію OSPF, я подумав, що це може обійти цю проблему.

У ASA ви можете створити статичний маршрут для свого публічного адресного простору (скажімо, 134.0.15.0/30) і перерозподілити цей маршрут в OSPF. Якщо припустити, що у вас є належна конфігурація для встановлення сеансу OSPF на інтерфейсі "Зовні", тоді він буде рекламувати статичний маршрут на північ.

Примітка. Це також буде рекламувати маршрут будь-яким колегам в інтерфейсі "Всередині". Це не має бути іншим питанням, ніж ви бачите це в таблицях маршрутизації пристрою.

— великий камінь
джерело