Bagaimana Anda mendapatkan ASA untuk mengumumkan alamat 'luar' NAT'd ke zona OSPF?

Pengaturan perangkat adalah sebagai berikut:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Jika Anda memiliki ASA yang melakukan NAT untuk mengatasi ruang yang tidak dirutekan secara statis ke sana, bagaimana Anda mendapatkan alamat NAT'd yang diumumkan ke zona OSPF sehingga router di bagian atas (Juniper MX5) tahu bagaimana mencapainya?

(FYI ini sebagian besar disederhanakan dari jaringan yang jauh lebih besar murni untuk menunjukkan komponen yang terlibat dalam masalah ini)

ospf cisco-asa SimonJGreen
sumber

Apakah router Juniper memiliki IP di subnet yang sama dengan 134.0.15.1?

PacketWrangler

@PacketWrangler tidak itu adalah jaringan pribadi dengan OSPF sebagai protokol routing. Saya telah mengubah diagram untuk kejelasan.

SimonJGreen

Jika Anda memiliki 10.0.1.0/24 di satu sisi dan 10.0.0.0/24 di sisi lain, bagaimana 134.0.15.1 cocok dengan perutean Anda?

Paul Gear

BGP ke MX5 dan kemudian OSPF ke perangkat internal. Itulah pertanyaannya :)

SimonJGreen

Bisakah saya bertanya mengapa Anda melakukan NAT di ASA? Menurut saya Anda akan lebih baik dilayani dengan hanya menggunakan 134.0.15.0/24 (dengan asumsi Anda memiliki / 24) pada host Anda di belakang ASA dan menghindari NAT. Kemudian alih-alih 10.0.0.254 pada ASA "di dalam" Anda akan meletakkan 134.0.15.254 dan kemudian menetapkan 134.0.15.1 host Anda. Kemudian konfigurasikan OSPF pada ASA dan itu akan mengiklankan bahwa ia memiliki 134.0.15.0/24 ke MX5.

PacketWrangler

Jawaban:

Biasanya Anda akan menginstal rute statis pada perangkat hulu (Juniper MX5 dalam contoh ini) menunjuk ke jaringan NAT di luar, daripada mencoba untuk mengiklankan jaringan dari ASA. Setidaknya, begitulah saya selalu melakukannya.

Jeremy Stretch
sumber

Jadi, misalnya, saya bisa menyisihkan "kumpulan" alamat untuk NAT dan rute statis ke mereka dari MX5? Bagaimana skala ini ke beberapa perangkat hulu, dan juga timur <> barat jika ada perangkat hilir lainnya di zona OSPF?

SimonJGreen

Saya awalnya tidak akan memposting di sini karena pertanyaan ini dijawab, tetapi setelah melihat posting Anda yang lain tentang memindahkan rute statis ke sesi OSPF Anda, saya pikir ini bisa menghindari masalah itu.

Di ASA Anda dapat membuat rute statis untuk ruang alamat publik Anda (Katakanlah 134.0.15.0/30) dan mendistribusikan kembali rute itu ke OSPF. Dengan asumsi Anda memiliki konfigurasi yang tepat untuk membuat sesi OSPF pada antarmuka "Luar" maka itu akan mengiklankan rute statis utara.

Catatan: Ini juga akan mengiklankan rute ke rekan mana pun di antarmuka "Di dalam" juga. Ini seharusnya tidak menjadi masalah selain Anda akan melihatnya di tabel routing perangkat.

batu besar
sumber