Como você consegue um ASA anunciar endereços 'externos' NAT em uma zona OSPF?

19

A disposição do dispositivo é a seguinte:

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

Se o ASA executa o NAT para endereçar um espaço que não é roteado estaticamente, como você anuncia os endereços NAT na zona OSPF para que o roteador no topo (Juniper MX5) saiba como alcançá-lo?

(Para sua informação, essa é uma fatia amplamente simplificada de uma rede muito maior puramente para demonstrar os componentes envolvidos nesse problema)

ospf cisco-asa SimonJGreen
fonte
O roteador Juniper tem um IP na mesma sub-rede que 134.0.15.1?
PacketWrangler
@PacketWrangler não, é uma rede privada com OSPF como protocolo de roteamento. Ajustei o diagrama para maior clareza.
SimonJGreen
Se você tem 10.0.1.0/24 de um lado e 10.0.0.0/24 do outro, como 134.0.15.1 se encaixa no seu roteamento?
Paul Gear
BGP para o MX5 e, em seguida, OSPF para dispositivos internos. Essa é exatamente a questão :)
SimonJGreen 8/13
Posso perguntar por que você está fazendo NAT no ASA? Parece-me que você seria melhor atendido apenas usando 134.0.15.0/24 (supondo que você tenha um / 24) em seus hosts atrás do ASA e evite o NAT. Então em vez de 10.0.0.254 no ASA "dentro" você colocaria 134.0.15.254 e atribuiria seu host 134.0.15.1. Em seguida, configure o OSPF no ASA e anunciaria que tem 134.0.15.0/24 para o MX5.
PacketWrangler

Respostas:

16

Normalmente, você instalaria uma rota estática no dispositivo upstream (o Juniper MX5 neste exemplo) apontando para a rede externa NAT, em vez de tentar anunciar a rede do ASA. Pelo menos, é assim que eu sempre faço isso.

Jeremy Stretch
fonte
Então, por exemplo, eu poderia reservar um "pool" de endereços para NAT e rota estática para eles a partir do MX5? Como isso é escalonado para vários dispositivos a montante e também a leste <> oeste, se houver outros dispositivos a jusante na zona OSPF?
SimonJGreen
1

Originalmente, não vou postar aqui porque esta pergunta foi respondida, mas depois de ver seu outro post sobre como mover as rotas estáticas para a sua sessão OSPF, pensei que isso poderia contornar esse problema.

No ASA, você pode criar uma rota estática para o seu espaço de endereço público (digamos 134.0.15.0/30) e redistribuir essa rota no OSPF. Supondo que você tenha a configuração adequada para estabelecer uma sessão OSPF na interface "Fora", ela anunciará a rota estática para o norte.

Nota: Isso também anunciará a rota para todos os pares na interface "Inside". Esse não deve ser um problema diferente do que você verá nas tabelas de roteamento do dispositivo.

bigmstone
fonte