|
|
|
|
Страница 1 из 1
|
[ Сообщений: 2 ] |
|
ASR 1001-X NAT из LAN на сервер по публичному адресу
Автор |
Сообщение |
AlexWP
Зарегистрирован: 24 сен 2015, 14:09 Сообщения: 10 Откуда: Санкт-Петербург
|
Приветствую.
Имеется маршрутизатор Cisco ASR1001-X Cisco IOS XE Software, Version 16.09.08
Есть ряд опубликованных сервисов через static nat на адреса из автономки. Есть локальная сеть с выходом в интернет через один из адресов из той же автономки. Пробросы портов из интернет до серверов работают. Выход в интернет из локалки работает. Необходим доступ из локальной сети к опубликованным сервисам по публичным адресам (про Split DNS известно, но хочется без него).
Часть текущей конфигурации NAT:
interface TenGigabitEthernet0/0/0.2 description Transit encapsulation dot1Q 2 ip address 10.20.20.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside zone-member security TRANSIT ip virtual-reassembly
interface TenGigabitEthernet0/0/1.258 description Internet encapsulation dot1Q 258 ip address 2.2.2.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside zone-member security WAN ip virtual-reassembly max-reassemblies 64
ip nat pool LAN_TO_INET 1.1.1.1 1.1.1.1 prefix-length 24 ip nat inside source static 10.10.10.10 1.1.1.2 extendable ip nat inside source route-map LAN_TO_INET pool LAN_TO_INET overload
route-map LAN_TO_INET permit 10 match ip address NAT_ACL_INSIDE
ip access-list extended NAT_ACL_INSIDE deny ip object-group LAN object-group BRANCH_LAN permit ip object-group LAN any
router bgp xxxxx neighbor 2.2.2.1 remote-as xxxxx address-family ipv4 network 1.1.1.0 mask 255.255.255.0 neighbor 2.2.2.1 activate
ip route 1.1.1.0 255.255.255.0 Null0
Нужно, чтобы из LAN был доступ до 1.1.1.2
_________________ Знание - сила!
|
28 мар 2023, 10:16 |
|
|
AlexWP
Зарегистрирован: 24 сен 2015, 14:09 Сообщения: 10 Откуда: Санкт-Петербург
|
Если кому-то интересно, решение оказалось достаточно простым:
ip access-list extended ACL_PBR_LAN permit ip object-group LAN object-group SPB_PUBLIC_NET route-map PBR_LAN permit 10 match ip address ACL_PBR_LAN set ip next-hop 2.2.2.1 route-map PBR_LAN permit 20 interface TenGigabitEthernet0/0/0.2 ip policy route-map PBR_LAN
После этого трафик спокойно ходит до опубликованных хостов в подсети AS.
В случае с двумя BGP Peer просто в set ip next-hop прописать оба шлюза в порядке приоритета.
_________________ Знание - сила!
|
04 апр 2023, 11:05 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 2 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|