Cisco Static NAT mit Routenkarten


8

Aktualisieren:

Scheint, dass Routenkarten nur mit IP-Adressen übereinstimmen, nicht mit den Ports. Hatte diese Woche eine andere Situation auf einem anderen Gerät, Modell und einer anderen Softwareversion. Am Ende wurden die NAT-Anweisungen geändert in:

ip nat inside source static tcp 192.168.1.20 3389 xxxx 3389

Ich habe dann den Zugriff basierend auf einer ACL und nicht auf einer Routenkarte eingeschränkt. Es wäre schön gewesen, bedingtes NATing zu definieren, aber es scheint einfach nicht zu funktionieren.


Wir haben also ein ziemlich standardmäßiges NAT-Box-Setup, um eine gehostete NAT-Lösung für eine Reihe von Kunden anzubieten.

Hier ist die grundlegende Topologie:

Topologie

Cisco IOS-Software, C2900-Software (C2900-UNIVERSALK9-M), Version 15.2 (4) M3, RELEASE-SOFTWARE (fc2)

Das Problem, das ich habe, ist mit dem Routenkartenabschnitt der NAT-Anweisungen zu tun.

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

ip access-list extended Customer1-forwarding-acl
 permit tcp host 10.1.10.201 host a.a.a.a eq 22
 permit tcp host 10.1.10.201 host b.b.b.b eq 22

route-map Customer1-portforwarding permit 10
 match ip address Customer1-forwarding-acl

Ich glaube, ich habe das richtige Verständnis der Streckenkarte. Es soll angeben, was NAT erlaubt ist und was nicht. Ich versuche im Grunde, es so einzurichten, dass nur Übersetzungen von bestimmten öffentlichen Quellenadressen zugelassen werden. Das scheint es nicht zu tun. Es scheint Übersetzungen von jeder öffentlichen Adresse zuzulassen.

Ich habe die ACL vollständig in eine Anweisung "IP verweigern" geändert, die jedoch weiterhin zulässig ist. Ich bin ein bisschen ratlos. Es scheint, dass die Routenkarte nichts tut.

Jede Hilfe wäre sehr dankbar!

Prost,

H.


1
Komisch, ich habe dieses Wochenende das gleiche Problem untersucht. Dies geschieht auch in einer Nicht-VRF-Situation. Leider konnte ich meine Arbeit nicht beenden.
RedShift

Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:


2

Ich glaube, dass das Problem in der VRF-Konfiguration selbst liegt. Überprüfen Sie daher bitte die nächsten
1. Konfigurieren Sie 'IP-VRF-Weiterleitung Customer1-Portforwarding' unter Schnittstellen, die an NAT beteiligt sind (nat inside, nat external interfaces).
2. Wenn Ihre Zugriffsliste die verwendet VRF-Routing-Tabelle, daher müssen Sie den Befehl 'set vrf Customer1-portforwarding' unter der Routenkartenkonfiguration hinzufügen, um die VRF-Routing-Tabelle zu verwenden.
3. Machen Sie Ihre Routenkarte spezifischer, indem Sie den nächsten Hop
festlegen. 4. Überprüfen Sie die NAT-Funktion mithilfe von 'sh ip Befehl nat translation '

Verwenden Sie diese URLs
NAT über VRF
Route-Map über VRF


1

Mir ist klar, dass dieser Beitrag alt ist, aber ich wollte diesen weiter verfolgen, nur für den Fall, dass Sie dieses Problem haben.

Nur neugierig, ob sich die IP-Adresse, auf der Sie dieses NAT außerhalb von Global ausprobieren, ebenfalls auf derselben VRF befindet wie der Client. Wenn ja, möchten Sie vielleicht versuchen: match-in-vrf

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding match-in-vrf

Ich würde auch zwei andere Methoden ausprobieren: 1.) Ändern Sie Ihre ACL für die Routenkarte, um dieselbe Quelle wie die IP zu haben, die Sie auch NAT möchten. Wenn wir die NAT-Regeln von links nach rechts lesen, wird dies möglicherweise erst nach der Übersetzung analysiert. 2.) versuche ip nat außerhalb der Quelle static tcp ... Ich bin nicht sicher, welches funktionieren würde, aber es wäre gut, ein Debug wie das folgende zu sehen:

access-list 99 permit host 10.1.10.201
access-list 99 permit host x.x.x.x
!
debug ip nat 99
!
terminal length 0
!
show log

0

Entfernen Sie Port 22 von:

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable


Entschuldigen Sie die Verzögerung beim Testen. War letzte Woche in Urlaub ... Weisheitszahnextraktion ... Lustige Zeiten ... Getestet wurdest du heute Morgen gefragt und leider kein Glück.
Firebirdnz

0

In der NAT-Anweisung geben Sie an, dass der SOURCE-Port an der internen Adresse 22 ist, während Sie in Ihrer ACL die "Gleichung 22" auf der DESTINATION-Seite platzieren. Versuchen Sie entweder, "Gleichung 22" vollständig aus Ihrer Routemap-ACL zu entfernen oder sie auf die richtige Seite (Quelle) zu legen, damit sie Ihrer NAT-Anweisung entspricht.


0

Es scheint, dass die Routenkarte einige Probleme hat. Ich konnte keine weiteren Fehler beheben.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.