Сообщения без ответов | Активные темы Текущее время: 01 окт 2023, 11:33



Ответить на тему  [ Сообщений: 2 ] 
ASR 1001-X NAT из LAN на сервер по публичному адресу 
Автор Сообщение

Зарегистрирован: 24 сен 2015, 14:09
Сообщения: 10
Откуда: Санкт-Петербург
Приветствую.

Имеется маршрутизатор Cisco ASR1001-X
Cisco IOS XE Software, Version 16.09.08

Есть ряд опубликованных сервисов через static nat на адреса из автономки.
Есть локальная сеть с выходом в интернет через один из адресов из той же автономки.
Пробросы портов из интернет до серверов работают.
Выход в интернет из локалки работает.
Необходим доступ из локальной сети к опубликованным сервисам по публичным адресам (про Split DNS известно, но хочется без него).

Часть текущей конфигурации NAT:

interface TenGigabitEthernet0/0/0.2
description Transit
encapsulation dot1Q 2
ip address 10.20.20.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
zone-member security TRANSIT
ip virtual-reassembly

interface TenGigabitEthernet0/0/1.258
description Internet
encapsulation dot1Q 258
ip address 2.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
zone-member security WAN
ip virtual-reassembly max-reassemblies 64

ip nat pool LAN_TO_INET 1.1.1.1 1.1.1.1 prefix-length 24
ip nat inside source static 10.10.10.10 1.1.1.2 extendable
ip nat inside source route-map LAN_TO_INET pool LAN_TO_INET overload

route-map LAN_TO_INET permit 10
match ip address NAT_ACL_INSIDE

ip access-list extended NAT_ACL_INSIDE
deny ip object-group LAN object-group BRANCH_LAN
permit ip object-group LAN any

router bgp xxxxx
neighbor 2.2.2.1 remote-as xxxxx
address-family ipv4
network 1.1.1.0 mask 255.255.255.0
neighbor 2.2.2.1 activate

ip route 1.1.1.0 255.255.255.0 Null0

Нужно, чтобы из LAN был доступ до 1.1.1.2

_________________
Знание - сила!


28 мар 2023, 10:16
Профиль

Зарегистрирован: 24 сен 2015, 14:09
Сообщения: 10
Откуда: Санкт-Петербург
Если кому-то интересно, решение оказалось достаточно простым:

ip access-list extended ACL_PBR_LAN
permit ip object-group LAN object-group SPB_PUBLIC_NET
route-map PBR_LAN permit 10
match ip address ACL_PBR_LAN
set ip next-hop 2.2.2.1
route-map PBR_LAN permit 20
interface TenGigabitEthernet0/0/0.2
ip policy route-map PBR_LAN

После этого трафик спокойно ходит до опубликованных хостов в подсети AS.

В случае с двумя BGP Peer просто в set ip next-hop прописать оба шлюза в порядке приоритета.

_________________
Знание - сила!


04 апр 2023, 11:05
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 2 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB