Anticisco
http://www.anticisco.ru/forum/

ASR 1001-X NAT из LAN на сервер по публичному адресу
http://www.anticisco.ru/forum/viewtopic.php?f=4&t=11837
Страница 1 из 1

Автор:  AlexWP [ 28 мар 2023, 10:16 ]
Заголовок сообщения:  ASR 1001-X NAT из LAN на сервер по публичному адресу

Приветствую.

Имеется маршрутизатор Cisco ASR1001-X
Cisco IOS XE Software, Version 16.09.08

Есть ряд опубликованных сервисов через static nat на адреса из автономки.
Есть локальная сеть с выходом в интернет через один из адресов из той же автономки.
Пробросы портов из интернет до серверов работают.
Выход в интернет из локалки работает.
Необходим доступ из локальной сети к опубликованным сервисам по публичным адресам (про Split DNS известно, но хочется без него).

Часть текущей конфигурации NAT:

interface TenGigabitEthernet0/0/0.2
description Transit
encapsulation dot1Q 2
ip address 10.20.20.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
zone-member security TRANSIT
ip virtual-reassembly

interface TenGigabitEthernet0/0/1.258
description Internet
encapsulation dot1Q 258
ip address 2.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
zone-member security WAN
ip virtual-reassembly max-reassemblies 64

ip nat pool LAN_TO_INET 1.1.1.1 1.1.1.1 prefix-length 24
ip nat inside source static 10.10.10.10 1.1.1.2 extendable
ip nat inside source route-map LAN_TO_INET pool LAN_TO_INET overload

route-map LAN_TO_INET permit 10
match ip address NAT_ACL_INSIDE

ip access-list extended NAT_ACL_INSIDE
deny ip object-group LAN object-group BRANCH_LAN
permit ip object-group LAN any

router bgp xxxxx
neighbor 2.2.2.1 remote-as xxxxx
address-family ipv4
network 1.1.1.0 mask 255.255.255.0
neighbor 2.2.2.1 activate

ip route 1.1.1.0 255.255.255.0 Null0

Нужно, чтобы из LAN был доступ до 1.1.1.2

Автор:  AlexWP [ 04 апр 2023, 11:05 ]
Заголовок сообщения:  Re: ASR 1001-X NAT из LAN на сервер по публичному адресу

Если кому-то интересно, решение оказалось достаточно простым:

ip access-list extended ACL_PBR_LAN
permit ip object-group LAN object-group SPB_PUBLIC_NET
route-map PBR_LAN permit 10
match ip address ACL_PBR_LAN
set ip next-hop 2.2.2.1
route-map PBR_LAN permit 20
interface TenGigabitEthernet0/0/0.2
ip policy route-map PBR_LAN

После этого трафик спокойно ходит до опубликованных хостов в подсети AS.

В случае с двумя BGP Peer просто в set ip next-hop прописать оба шлюза в порядке приоритета.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/