NAT estático da Cisco com mapas de rotas

Atualizar:

Parece que os mapas de rota correspondem apenas nos endereços IP, não nas portas. Teve outra situação esta semana em um dispositivo, modelo e versão de software diferentes. Acabou alterando as instruções NAT para:

tcp estático da fonte interna nat IP 192.168.1.20 3389 xxxx 3389

Em seguida, restringi o acesso com base em uma ACL, e não em um mapa de rotas. Teria sido bom definir o NATing condicional, mas parece que simplesmente não funciona.

Portanto, temos uma configuração de caixa NAT bastante padrão para oferecer uma solução NAT hospedada para vários clientes.

Aqui está a topologia básica:

Software Cisco IOS, software C2900 (C2900-UNIVERSALK9-M), versão 15.2 (4) M3, SOFTWARE DE LANÇAMENTO (fc2)

O problema que tenho é sobre a seção de mapa de rotas das instruções NAT.

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

ip access-list extended Customer1-forwarding-acl
 permit tcp host 10.1.10.201 host a.a.a.a eq 22
 permit tcp host 10.1.10.201 host b.b.b.b eq 22

route-map Customer1-portforwarding permit 10
 match ip address Customer1-forwarding-acl

Acredito que tenho o entendimento correto do mapa de rotas. Destina-se a designar o que é permitido ao NAT e o que não é. Estou basicamente tentando configurá-lo para permitir apenas traduções de endereços de origem pública específicos. Não parece estar fazendo isso. Parece estar permitindo traduções de qualquer endereço público.

Alterei a ACL completamente para uma declaração 'deny ip any any' e ela ainda permite. Estou um pouco perdido. Parece que o mapa de rotas não está fazendo nada.

Qualquer ajuda seria muito apreciada!

Felicidades,

H

Eu acredito que o problema está na própria configuração do VRF, portanto, verifique o próximo
1. configure 'ip vrf forwarding Customer1-portforwarding' sob as interfaces envolvidas no NAT (interfaces nat nat, nat outside)
2. se sua lista de acesso usará o Tabela de roteamento VRF, para que você precise adicionar o comando 'set vrf Customer1-portforwarding' na configuração do mapa de rotas para usar a tabela de roteamento VRF
3. torne seu mapa de rotas mais específico configurando o próximo salto
4. verifique o NATing usando 'sh ip comando nat translation '

faça uso desses URLs
NAT sobre VRF
Mapa de rotas sobre VRF

Sei que este post é antigo, mas eu queria acompanhar esse, para o caso de você ter esse problema por aí.

Apenas curioso para saber se o endereço IP no qual você está testando este NAT, fora do global, também está no mesmo VRF do cliente. Nesse caso, convém tentar: match-in-vrf

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding match-in-vrf

Eu também tentaria dois outros métodos: 1.) modifique sua ACL para o mapa de rotas, para ter a mesma fonte do IP que você deseja que os NAT também. Se lermos da esquerda para a direita nas regras do NAT, ele poderá não ser analisado até depois da tradução. 2.) tente ip nat fora da fonte static tcp ... Não tenho certeza qual deles funcionaria, mas seria bom ver uma depuração como a seguinte:

access-list 99 permit host 10.1.10.201
access-list 99 permit host x.x.x.x
!
debug ip nat 99
!
terminal length 0
!
show log

Tente remover a porta 22 de:

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

Na instrução NAT, você está indicando que a porta SOURCE é 22 no endereço interno, mas na sua ACL você coloca o "eq 22" no lado DESTINATION. Tente remover o "eq 22" inteiramente da sua ACL do mapa de rotas ou coloque-o no lado correto (origem) para corresponder à sua declaração NAT.

Parece que o mapa de rotas tem alguns problemas. Não consegui solucionar mais problemas.