Como você consegue um ASA anunciar endereços 'externos' NAT em uma zona OSPF?

19

A disposição do dispositivo é a seguinte:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Se o ASA executa o NAT para endereçar um espaço que não é roteado estaticamente, como você anuncia os endereços NAT na zona OSPF para que o roteador no topo (Juniper MX5) saiba como alcançá-lo?

(Para sua informação, essa é uma fatia amplamente simplificada de uma rede muito maior puramente para demonstrar os componentes envolvidos nesse problema)

ospf  cisco-asa 
SimonJGreen
fonte
O roteador Juniper tem um IP na mesma sub-rede que 134.0.15.1?
PacketWrangler
@PacketWrangler não, é uma rede privada com OSPF como protocolo de roteamento. Ajustei o diagrama para maior clareza.
SimonJGreen
Se você tem 10.0.1.0/24 de um lado e 10.0.0.0/24 do outro, como 134.0.15.1 se encaixa no seu roteamento?
Paul Gear
BGP para o MX5 e, em seguida, OSPF para dispositivos internos. Essa é exatamente a questão :)
SimonJGreen 8/13
Posso perguntar por que você está fazendo NAT no ASA? Parece-me que você seria melhor atendido apenas usando 134.0.15.0/24 (supondo que você tenha um / 24) em seus hosts atrás do ASA e evite o NAT. Então em vez de 10.0.0.254 no ASA "dentro" você colocaria 134.0.15.254 e atribuiria seu host 134.0.15.1. Em seguida, configure o OSPF no ASA e anunciaria que tem 134.0.15.0/24 para o MX5.
PacketWrangler

Respostas:

16

Normalmente, você instalaria uma rota estática no dispositivo upstream (o Juniper MX5 neste exemplo) apontando para a rede externa NAT, em vez de tentar anunciar a rede do ASA. Pelo menos, é assim que eu sempre faço isso.

Jeremy Stretch
fonte
Então, por exemplo, eu poderia reservar um "pool" de endereços para NAT e rota estática para eles a partir do MX5? Como isso é escalonado para vários dispositivos a montante e também a leste <> oeste, se houver outros dispositivos a jusante na zona OSPF?
SimonJGreen
1

Originalmente, não vou postar aqui porque esta pergunta foi respondida, mas depois de ver seu outro post sobre como mover as rotas estáticas para a sua sessão OSPF, pensei que isso poderia contornar esse problema.

No ASA, você pode criar uma rota estática para o seu espaço de endereço público (digamos 134.0.15.0/30) e redistribuir essa rota no OSPF. Supondo que você tenha a configuração adequada para estabelecer uma sessão OSPF na interface "Fora", ela anunciará a rota estática para o norte.

Nota: Isso também anunciará a rota para todos os pares na interface "Inside". Esse não deve ser um problema diferente do que você verá nas tabelas de roteamento do dispositivo.

bigmstone
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.