Cisco Static NAT avec routes-maps

8

Mise à jour:

Il semble que les cartes de routage ne correspondent qu'aux adresses IP, pas aux ports. J'ai eu une autre situation cette semaine sur un appareil, un modèle et une version de logiciel différents. J'ai fini par changer les instructions NAT en:

ip nat à l'intérieur de la source statique tcp 192.168.1.20 3389 xxxx 3389

J'ai ensuite restreint l'accès en fonction d'une liste de contrôle d'accès plutôt que d'une carte d'itinéraire. Il aurait été bien de définir le NAT conditionnel, mais il semble que cela ne fonctionne tout simplement pas.

Nous avons donc une configuration de boîte NAT assez standard pour offrir une solution NAT hébergée à un certain nombre de clients.

Voici la topologie de base:

Topologie

Logiciel Cisco IOS, logiciel C2900 (C2900-UNIVERSALK9-M), version 15.2 (4) M3, LOGICIEL DE LIBÉRATION (fc2)

Le problème que j'ai est à faire avec la section route-map des instructions NAT.

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

ip access-list extended Customer1-forwarding-acl
 permit tcp host 10.1.10.201 host a.a.a.a eq 22
 permit tcp host 10.1.10.201 host b.b.b.b eq 22

route-map Customer1-portforwarding permit 10
 match ip address Customer1-forwarding-acl

Je crois que j'ai la bonne compréhension de la feuille de route. Il est destiné à désigner ce qui est autorisé à NAT et ce qui ne l'est pas. J'essaie essentiellement de le configurer pour autoriser uniquement les traductions à partir d'adresses de source publique spécifiques. Ça ne semble pas faire ça. Il semble autoriser des traductions à partir de n'importe quelle adresse publique.

J'ai complètement changé l'ACL en une instruction 'deny ip any any' et elle le permet toujours. Je suis un peu perdu. Il semble que la carte d'itinéraire ne fasse rien.

Toute aide serait grandement appréciée!

À votre santé,

H

cisco  nat 
Firebirdnz
source
1
Drôle, je recherchais le même problème ce week-end. Cela se produit également dans une situation non VRF. Malheureusement, je n'ai pas pu terminer mon travail.
RedShift
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

2

je crois que le problème est dans la configuration VRF elle-même, donc veuillez vérifier le suivant
1. configurez 'ip vrf forwarding Customer1-portforwarding' sous les interfaces impliquées dans NAT (nat inside, nat outside interfaces)
2. si votre liste d'accès utilisera le Table de routage VRF, vous devez donc ajouter la commande «set vrf Customer1-portforwarding» sous la configuration de la route-map pour utiliser la table de routage VRF
3. rendre votre route-map plus spécifique en définissant le saut suivant
4. vérifier le NAT en utilisant «sh ip commande nat translation '

utiliser ces URL
NAT sur VRF
Route-map sur VRF

Gadeliow
source
1

Je me rends compte que ce message est ancien mais je voulais poursuivre sur celui-ci, juste au cas où vous auriez ce problème en suspens.

Juste curieux de savoir si l'adresse IP sur laquelle vous essayez ce NAT, en dehors de Global, est également sur le même VRF que le client. Si c'est le cas, vous pouvez essayer: match-in-vrf

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding match-in-vrf

J'essaierais également deux autres méthodes: 1.) modifier votre ACL pour la route-map, pour avoir la même source que l'IP que vous souhaitez également NAT. Si nous lisons de gauche à droite sur les règles NAT, il est possible que cela ne soit analysé qu'après la traduction. 2.) essayez ip nat en dehors de la source statique tcp ... Je ne sais pas lequel fonctionnerait mais ce serait bien de voir un débogage comme celui-ci:

access-list 99 permit host 10.1.10.201
access-list 99 permit host x.x.x.x
!
debug ip nat 99
!
terminal length 0
!
show log
Joseph Drane
source
0

Essayez de supprimer le port 22 de:

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

Mike Pennington
source
Désolé pour le retard dans le test. Était en congé la semaine dernière ... Extraction de dents de sagesse ... Moments amusants ... Testé, on vous a demandé ce matin et pas de chance malheureusement.
Firebirdnz
0

Dans la déclaration NAT, vous indiquez que le port SOURCE est 22 sur l'adresse interne, mais sur votre ACL, vous mettez "eq 22" du côté DESTINATION. Essayez soit de supprimer "eq 22" de votre liste de contrôle d'accès de routemap, soit de le placer du bon côté (source) pour qu'il corresponde à votre instruction NAT.

fltsimbuff
source
0

Il semble que la carte d'itinéraire présente certains problèmes. Je n'ai pas pu résoudre plus loin.

Firebirdnz
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.