| Anticisco https://anticisco.ru/forum/ |
|
| ASR 1001-X NAT из LAN на сервер по публичному адресу https://anticisco.ru/forum/viewtopic.php?f=4&t=11837 |
Страница 1 из 1 |
| Автор: | AlexWP [ 28 мар 2023, 10:16 ] |
| Заголовок сообщения: | ASR 1001-X NAT из LAN на сервер по публичному адресу |
Приветствую. Имеется маршрутизатор Cisco ASR1001-X Cisco IOS XE Software, Version 16.09.08 Есть ряд опубликованных сервисов через static nat на адреса из автономки. Есть локальная сеть с выходом в интернет через один из адресов из той же автономки. Пробросы портов из интернет до серверов работают. Выход в интернет из локалки работает. Необходим доступ из локальной сети к опубликованным сервисам по публичным адресам (про Split DNS известно, но хочется без него). Часть текущей конфигурации NAT: interface TenGigabitEthernet0/0/0.2 description Transit encapsulation dot1Q 2 ip address 10.20.20.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside zone-member security TRANSIT ip virtual-reassembly interface TenGigabitEthernet0/0/1.258 description Internet encapsulation dot1Q 258 ip address 2.2.2.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside zone-member security WAN ip virtual-reassembly max-reassemblies 64 ip nat pool LAN_TO_INET 1.1.1.1 1.1.1.1 prefix-length 24 ip nat inside source static 10.10.10.10 1.1.1.2 extendable ip nat inside source route-map LAN_TO_INET pool LAN_TO_INET overload route-map LAN_TO_INET permit 10 match ip address NAT_ACL_INSIDE ip access-list extended NAT_ACL_INSIDE deny ip object-group LAN object-group BRANCH_LAN permit ip object-group LAN any router bgp xxxxx neighbor 2.2.2.1 remote-as xxxxx address-family ipv4 network 1.1.1.0 mask 255.255.255.0 neighbor 2.2.2.1 activate ip route 1.1.1.0 255.255.255.0 Null0 Нужно, чтобы из LAN был доступ до 1.1.1.2 |
|
| Автор: | AlexWP [ 04 апр 2023, 11:05 ] |
| Заголовок сообщения: | Re: ASR 1001-X NAT из LAN на сервер по публичному адресу |
Если кому-то интересно, решение оказалось достаточно простым: ip access-list extended ACL_PBR_LAN permit ip object-group LAN object-group SPB_PUBLIC_NET route-map PBR_LAN permit 10 match ip address ACL_PBR_LAN set ip next-hop 2.2.2.1 route-map PBR_LAN permit 20 interface TenGigabitEthernet0/0/0.2 ip policy route-map PBR_LAN После этого трафик спокойно ходит до опубликованных хостов в подсети AS. В случае с двумя BGP Peer просто в set ip next-hop прописать оба шлюза в порядке приоритета. |
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|