Jak uzyskać ASA, aby ogłaszać NAT 'adresy zewnętrzne' w strefie OSPF?

Układ urządzenia jest następujący:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Jeśli masz ASA wykonującą NAT do adresowania przestrzeni, która nie jest do niego statycznie kierowana, w jaki sposób możesz ogłosić adresy NAT do strefy OSPF, aby router na górze (Juniper MX5) wiedział, jak do niej dotrzeć?

(FYI jest to w dużej mierze uproszczony wycinek z dużo większej sieci wyłącznie w celu zademonstrowania elementów zaangażowanych w ten problem)

ospf cisco-asa SimonJGreen
źródło

Czy router Juniper ma adres IP w tej samej podsieci co 134.0.15.1?

PacketWrangler

@PacketWrangler nie to prywatna sieć z OSPF jako protokołem routingu. Poprawiłem schemat, aby był bardziej przejrzysty.

SimonJGreen

Jeśli masz 10.0.1.0/24 z jednej strony i 10.0.0.0/24 z drugiej, jak w ogóle 134.0.15.1 pasuje do twojego routingu?

Paul Gear

BGP do MX5, a następnie OSPF do urządzeń wewnętrznych. To jest dokładnie pytanie :)

SimonJGreen

Czy mogę zapytać, dlaczego wykonujesz NAT w ASA? Wydaje mi się, że lepiej byś był obsługiwany, używając 134.0.15.0/24 (zakładając, że masz / 24) na swoich hostach za ASA i unikaj NAT. Następnie zamiast 10.0.0.254 na ASA „inside” wstawiłbyś 134.0.15.254, a następnie przypisałeś swojemu hostowi 134.0.15.1. Następnie skonfiguruj OSPF na ASA i będzie reklamować, że ma 134.0.15.0/24 na MX5.

PacketWrangler

Odpowiedzi:

Zazwyczaj trasa statyczna byłaby instalowana na urządzeniu nadrzędnym (w tym przykładzie Juniper MX5), wskazując na NAT poza siecią, zamiast próbować reklamować sieć z ASA. Przynajmniej tak zawsze się tym zajmuję.

Jeremy Stretch
źródło

Na przykład, czy mógłbym odłożyć „pulę” adresów dla NAT i statyczną trasę do nich z MX5? Jak skaluje się to do wielu urządzeń nadrzędnych, a także na wschód <> zachodni, jeśli w strefie OSPF znajdują się inne urządzenia nadrzędne?

SimonJGreen

Początkowo nie zamierzam pisać tutaj, ponieważ odpowiedź na to pytanie, ale po zobaczeniu twojego drugiego postu dotyczącego przeniesienia tras statycznych do sesji OSPF pomyślałem, że może to obejść ten problem.

W ASA możesz utworzyć trasę statyczną dla swojej publicznej przestrzeni adresowej (powiedzmy 134.0.15.0/30) i ponownie rozdzielić tę trasę do OSPF. Zakładając, że masz odpowiednią konfigurację do ustanowienia sesji OSPF w interfejsie „Zewnętrznym”, będzie ona reklamować statyczną trasę na północ.

Uwaga: Spowoduje to również reklamę trasy do wszystkich peerów w interfejsie „Inside”. To nie powinien być inny problem niż ten, który zobaczysz w tablicach routingu urządzenia.

Bigmstone
źródło