NAT estático da Cisco com mapas de rotas


8

Atualizar:

Parece que os mapas de rota correspondem apenas nos endereços IP, não nas portas. Teve outra situação esta semana em um dispositivo, modelo e versão de software diferentes. Acabou alterando as instruções NAT para:

tcp estático da fonte interna nat IP 192.168.1.20 3389 xxxx 3389

Em seguida, restringi o acesso com base em uma ACL, e não em um mapa de rotas. Teria sido bom definir o NATing condicional, mas parece que simplesmente não funciona.


Portanto, temos uma configuração de caixa NAT bastante padrão para oferecer uma solução NAT hospedada para vários clientes.

Aqui está a topologia básica:

Topologia

Software Cisco IOS, software C2900 (C2900-UNIVERSALK9-M), versão 15.2 (4) M3, SOFTWARE DE LANÇAMENTO (fc2)

O problema que tenho é sobre a seção de mapa de rotas das instruções NAT.

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

ip access-list extended Customer1-forwarding-acl
 permit tcp host 10.1.10.201 host a.a.a.a eq 22
 permit tcp host 10.1.10.201 host b.b.b.b eq 22

route-map Customer1-portforwarding permit 10
 match ip address Customer1-forwarding-acl

Acredito que tenho o entendimento correto do mapa de rotas. Destina-se a designar o que é permitido ao NAT e o que não é. Estou basicamente tentando configurá-lo para permitir apenas traduções de endereços de origem pública específicos. Não parece estar fazendo isso. Parece estar permitindo traduções de qualquer endereço público.

Alterei a ACL completamente para uma declaração 'deny ip any any' e ela ainda permite. Estou um pouco perdido. Parece que o mapa de rotas não está fazendo nada.

Qualquer ajuda seria muito apreciada!

Felicidades,

H


11
Engraçado, eu estava pesquisando o mesmo problema neste fim de semana. Isso acontece também em uma situação não VRF. Infelizmente não consegui terminar meu trabalho.
RedShift 16/02

Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:


2

Eu acredito que o problema está na própria configuração do VRF, portanto, verifique o próximo
1. configure 'ip vrf forwarding Customer1-portforwarding' sob as interfaces envolvidas no NAT (interfaces nat nat, nat outside)
2. se sua lista de acesso usará o Tabela de roteamento VRF, para que você precise adicionar o comando 'set vrf Customer1-portforwarding' na configuração do mapa de rotas para usar a tabela de roteamento VRF
3. torne seu mapa de rotas mais específico configurando o próximo salto
4. verifique o NATing usando 'sh ip comando nat translation '

faça uso desses URLs
NAT sobre VRF
Mapa de rotas sobre VRF


1

Sei que este post é antigo, mas eu queria acompanhar esse, para o caso de você ter esse problema por aí.

Apenas curioso para saber se o endereço IP no qual você está testando este NAT, fora do global, também está no mesmo VRF do cliente. Nesse caso, convém tentar: match-in-vrf

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding match-in-vrf

Eu também tentaria dois outros métodos: 1.) modifique sua ACL para o mapa de rotas, para ter a mesma fonte do IP que você deseja que os NAT também. Se lermos da esquerda para a direita nas regras do NAT, ele poderá não ser analisado até depois da tradução. 2.) tente ip nat fora da fonte static tcp ... Não tenho certeza qual deles funcionaria, mas seria bom ver uma depuração como a seguinte:

access-list 99 permit host 10.1.10.201
access-list 99 permit host x.x.x.x
!
debug ip nat 99
!
terminal length 0
!
show log

0

Tente remover a porta 22 de:

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable


Desculpe pelo atraso no teste. Estava de licença na semana passada ... Extração de dentes do siso ... Tempos divertidos ... Testado foi o que você pediu esta manhã e sem sorte, infelizmente.
Firebirdnz

0

Na instrução NAT, você está indicando que a porta SOURCE é 22 no endereço interno, mas na sua ACL você coloca o "eq 22" no lado DESTINATION. Tente remover o "eq 22" inteiramente da sua ACL do mapa de rotas ou coloque-o no lado correto (origem) para corresponder à sua declaração NAT.


0

Parece que o mapa de rotas tem alguns problemas. Não consegui solucionar mais problemas.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.