Comment obtenir un ASA pour annoncer des adresses «extérieures» NAT dans une zone OSPF?

19

La disposition des appareils est la suivante:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Si vous avez l'ASA exécutant le NAT pour adresser l'espace qui n'est pas routé statiquement vers lui, comment obtenez-vous les adresses NAT annoncées dans la zone OSPF pour que le routeur en haut (Juniper MX5) sache comment l'atteindre?

(Pour info, il s'agit d'une tranche largement simplifiée d'un réseau beaucoup plus vaste uniquement pour démontrer les composants impliqués dans ce problème)

ospf cisco-asa SimonJGreen
la source
Le routeur Juniper a-t-il une IP dans le même sous-réseau que 134.0.15.1?
PacketWrangler
@PacketWrangler non c'est un réseau privé avec OSPF comme protocole de routage. J'ai modifié le diagramme pour plus de clarté.
SimonJGreen
Si vous avez 10.0.1.0/24 d'un côté et 10.0.0.0/24 de l'autre, comment 134.0.15.1 s'intègre-t-il dans votre routage?
Paul Gear
BGP vers le MX5 puis OSPF vers les périphériques internes. C'est exactement la question :)
SimonJGreen
Puis-je vous demander pourquoi vous faites NAT dans l'ASA? Il me semble que vous seriez mieux servi en utilisant simplement 134.0.15.0/24 (en supposant que vous avez un / 24) sur vos hôtes derrière l'ASA et évitez le NAT. Ensuite, au lieu de 10.0.0.254 sur l'ASA "à l'intérieur", vous mettriez 134.0.15.254 puis affecteriez votre hôte 134.0.15.1. Configurez ensuite OSPF sur l'ASA et il annoncerait qu'il a 134.0.15.0/24 au MX5.
PacketWrangler

Réponses:

16

En règle générale, vous installez une route statique sur le périphérique en amont (le Juniper MX5 dans cet exemple) pointant vers le réseau extérieur NAT, plutôt que d'essayer de publier le réseau depuis l'ASA. Du moins, c'est comme ça que je procède toujours.

Jeremy Stretch
la source
Ainsi, par exemple, je pourrais mettre de côté un "pool" d'adresses pour NAT et une route statique vers eux depuis le MX5? Comment cette échelle s'applique-t-elle à plusieurs appareils en amont, et également à l'est <> à l'ouest s'il y a d'autres appareils en aval dans la zone OSPF?
SimonJGreen
1

À l'origine, je ne vais pas publier ici parce que cette question a reçu une réponse, mais après avoir vu votre autre message sur le déplacement des routes statiques dans votre session OSPF, j'ai pensé que cela pourrait contourner ce problème.

Dans l'ASA, vous pouvez créer une route statique pour votre espace d'adressage public (disons 134.0.15.0/30) et redistribuer cette route dans OSPF. En supposant que vous ayez la configuration appropriée pour établir une session OSPF sur l'interface "Outside", il annoncera la route statique vers le nord.

Remarque: Cela annoncera également l'itinéraire à tous les pairs sur l'interface "Inside". Cela ne devrait pas être un problème autre que vous le verrez dans les tables de routage de l'appareil.

bigmstone
la source