¿Cómo se consigue que un ASA anuncie direcciones 'externas' de NAT en una zona OSPF?

La disposición del dispositivo es la siguiente:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Si tiene el ASA realizando NAT para direccionar espacio que no está enrutado estáticamente hacia él, ¿cómo obtiene las direcciones NAT anunciadas en la zona OSPF para que el enrutador en la parte superior (Juniper MX5) sepa cómo llegar?

(Para su información, esta es una porción simplificada en gran medida de una red mucho más grande simplemente para demostrar los componentes involucrados en este problema)

ospf cisco-asa SimonJGreen
fuente

¿El enrutador Juniper tiene una IP en la misma subred que 134.0.15.1?

PacketWrangler

@PacketWrangler no, es una red privada con OSPF como protocolo de enrutamiento. He modificado el diagrama para mayor claridad.

SimonJGreen

Si tiene 10.0.1.0/24 en un lado y 10.0.0.0/24 en el otro, ¿cómo encaja 134.0.15.1 en su ruta?

Paul Gear

BGP al MX5 y luego OSPF a los dispositivos internos. Esa es exactamente la pregunta :)

SimonJGreen

¿Puedo preguntar por qué estás haciendo NAT en el ASA? Me parece que sería mejor servirle solo usando 134.0.15.0/24 (suponiendo que tenga un / 24) en sus hosts detrás del ASA y evite NAT. Luego, en lugar de 10.0.0.254 en el ASA "dentro", pondría 134.0.15.254 y luego asignaría su host 134.0.15.1. Luego configure OSPF en el ASA y anunciaría que tiene 134.0.15.0/24 para el MX5.

PacketWrangler

Respuestas:

Por lo general, instalaría una ruta estática en el dispositivo ascendente (el Juniper MX5 en este ejemplo) apuntando a la red externa NAT, en lugar de intentar publicitar la red desde el ASA. Al menos, así es como siempre lo hago.

Jeremy Stretch
fuente

Entonces, por ejemplo, ¿podría reservar un "grupo" de direcciones para NAT y ruta estática desde MX5? ¿Cómo se escala esto a múltiples dispositivos aguas arriba, y también al este <> oeste si hay otros dispositivos aguas abajo en la zona OSPF?

SimonJGreen

Originalmente no quería publicar aquí porque esta pregunta está respondida, pero después de ver su otra publicación sobre cómo mover las rutas estáticas a su sesión OSPF, pensé que esto podría evitar ese problema.

En el ASA, puede crear una ruta estática para su espacio de direcciones públicas (Digamos 134.0.15.0/30) y redistribuir esa ruta en OSPF. Suponiendo que tiene la configuración adecuada para establecer una sesión OSPF en la interfaz "Exterior", anunciará la ruta estática hacia el norte.

Nota: Esto también anunciará la ruta a cualquier par en la interfaz "Inside". Esto no debería ser un problema que no sea que lo verá en las tablas de enrutamiento del dispositivo.

bigmstone
fuente