Как получить ASA для объявления внешних адресов NAT в зоне OSPF?

19

Устройство устройства выглядит следующим образом:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Если у вас есть ASA, выполняющий NAT для адресного пространства, которое не статически маршрутизируется к нему, как вы получаете объявленные адреса NAT в зоне OSPF, чтобы маршрутизатор наверху (Juniper MX5) знал, как его достичь?

(К вашему сведению, это в значительной степени упрощенный фрагмент гораздо большей сети исключительно для демонстрации компонентов, участвующих в этой проблеме)

SimonJGreen
источник
Имеет ли маршрутизатор Juniper IP в той же подсети, что и 134.0.15.1?
PacketWrangler
@PacketWrangler нет, это частная сеть с OSPF в качестве протокола маршрутизации. Я подправил диаграмму для ясности.
SimonJGreen
Если у вас есть 10.0.1.0/24 с одной стороны и 10.0.0.0/24 с другой, как 134.0.15.1 вписывается в ваш маршрут вообще?
Пол Гир
BGP для MX5, а затем OSPF для внутренних устройств. Это точно вопрос :)
SimonJGreen
Могу ли я спросить, почему вы делаете NAT в ASA? Мне кажется, что вам лучше обойтись, если просто использовать 134.0.15.0/24 (при условии, что у вас есть / 24) на ваших хостах за ASA и избегать NAT. Тогда вместо 10.0.0.254 на ASA "изнутри" вы должны поместить 134.0.15.254 и затем назначить свой хост 134.0.15.1. Затем настройте OSPF на ASA, и он объявит, что у него есть 134.0.15.0/24 для MX5.
PacketWrangler

Ответы:

16

Обычно вы устанавливаете статический маршрут на вышестоящее устройство (Juniper MX5 в этом примере), указывающее на внешнюю сеть NAT, вместо того, чтобы пытаться объявить сеть из ASA. По крайней мере, так я всегда это делаю.

Джереми Стретч
источник
Так, например, я мог бы выделить «пул» адресов для NAT и статический маршрут к ним из MX5? Как это масштабируется до нескольких вышестоящих устройств, а также на восток <> запад, если есть другие нисходящие устройства в зоне OSPF?
SimonJGreen
1

Изначально я не собирался публиковать здесь, потому что на этот вопрос дан ответ, но после просмотра вашего другого поста о перемещении статических маршрутов в сеанс OSPF я подумал, что это может обойти эту проблему.

В ASA вы можете создать статический маршрут для вашего публичного адресного пространства (скажем, 134.0.15.0/30) и перераспределить этот маршрут в OSPF. Предполагая, что у вас есть правильная конфигурация для установки сеанса OSPF на «внешнем» интерфейсе, он будет объявлять статический маршрут на север.

Примечание: Это также будет объявлять маршрут к любым одноранговым узлам на интерфейсе "Inside". Это не должно быть проблемой, кроме того, что вы увидите это в таблицах маршрутизации устройства.

bigmstone
источник