Wie kann ein ASA NAT-Außenadressen in einer OSPF-Zone bekannt geben?

19

Geräteanordnung ist wie folgt:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Wenn der ASA NAT für den Adressraum ausführt, der nicht statisch an ihn weitergeleitet wird, wie können Sie die NAT-Adressen in der OSPF-Zone anzeigen, damit der Router oben (Juniper MX5) weiß, wie er darauf zugreifen kann?

(Zu Ihrer Information, dies ist ein stark vereinfachter Ausschnitt aus einem viel größeren Netzwerk, der lediglich die Komponenten demonstriert, die an diesem Problem beteiligt sind.)

ospf cisco-asa SimonJGreen
quelle
Verfügt der Juniper-Router über eine IP-Adresse im selben Subnetz wie 134.0.15.1?
PacketWrangler
@ PacketWrangler Nein, es ist ein privates Netzwerk mit OSPF als Routing-Protokoll. Ich habe das Diagramm aus Gründen der Übersichtlichkeit optimiert.
SimonJGreen
Wenn Sie 10.0.1.0/24 auf der einen Seite und 10.0.0.0/24 auf der anderen Seite haben, wie passt 134.0.15.1 überhaupt in Ihr Routing?
Paul Gear
BGP an den MX5 und dann OSPF an interne Geräte. Das ist genau die Frage :)
SimonJGreen
Kann ich fragen, warum Sie NAT in der ASA machen? Mir scheint, Sie wären besser bedient, wenn Sie einfach 134.0.15.0/24 (vorausgesetzt, Sie haben eine / 24) auf Ihren Hosts hinter dem ASA verwenden und NAT vermeiden. Anstelle von 10.0.0.254 auf der ASA "inside" würden Sie 134.0.15.254 setzen und dann Ihren Host 134.0.15.1 zuweisen. Konfigurieren Sie dann OSPF auf dem ASA und es würde ankündigen, dass es 134.0.15.0/24 zum MX5 hat.
PacketWrangler

Antworten:

16

In der Regel installieren Sie eine statische Route auf dem Upstream-Gerät (in diesem Beispiel der Juniper MX5), die auf das NAT außerhalb des Netzwerks verweist, anstatt zu versuchen, das Netzwerk von der ASA aus anzukündigen. Zumindest gehe ich so immer vor.

Jeremy Stretch
quelle
So könnte ich zum Beispiel einen "Pool" von Adressen für NAT und die statische Route von der MX5 zu ihnen beiseite legen? Wie lässt sich diese Skalierung auf mehrere Upstream-Geräte und auch auf Ost <> West-Geräte anwenden, wenn sich andere Downstream-Geräte in der OSPF-Zone befinden?
SimonJGreen
1

Ich werde ursprünglich nicht hier posten, da diese Frage beantwortet wird, aber nachdem ich Ihren anderen Beitrag über das Verschieben der statischen Routen in Ihre OSPF-Sitzung gesehen habe, dachte ich, dies könnte dieses Problem umgehen.

In der ASA können Sie eine statische Route für Ihren öffentlichen Adressraum erstellen (z. B. 134.0.15.0/30) und diese Route in OSPF umverteilen. Angenommen, Sie haben die richtige Konfiguration, um eine OSPF-Sitzung auf der "Outside" -Schnittstelle einzurichten, dann wird die statische Route nach Norden angekündigt.

Hinweis: Dadurch wird auch die Route für Peers auf der "Inside" -Oberfläche angekündigt. Dies sollte kein anderes Problem sein, als dass es in den Routing-Tabellen des Geräts angezeigt wird.

Bigmstone
quelle