ルートマップを使用したCiscoスタティックNAT

8

更新:

ルートマップはIPアドレスでのみ一致し、ポートでは一致しないようです。今週、別のデバイス、モデル、ソフトウェアバージョンで別の状況が発生しました。最終的に、NATステートメントを次のように変更しました。

ip nat inside source static tcp 192.168.1.20 3389 xxxx 3389

次に、ルートマップではなくACLに基づいてアクセスを制限しました。条件付きNATを定義するのは良かったのですが、機能しないようです。

そのため、多数のお客様にホステッドNATソリューションを提供するためのかなり標準的なNATボックスのセットアップがあります。

基本的なトポロジは次のとおりです。

トポロジー

Cisco IOSソフトウェア、C2900ソフトウェア(C2900-UNIVERSALK9-M)、バージョン15.2(4)M3、リリースソフトウェア(fc2)

私が抱えている問題は、NATステートメントのroute-mapセクションに関係しています。

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

ip access-list extended Customer1-forwarding-acl
 permit tcp host 10.1.10.201 host a.a.a.a eq 22
 permit tcp host 10.1.10.201 host b.b.b.b eq 22

route-map Customer1-portforwarding permit 10
 match ip address Customer1-forwarding-acl

私は正しいルートマップを理解していると思います。これは、NATに許可されるものと許可されないものを指定するためのものです。基本的に、特定のパブリックソースアドレスからの変換のみを許可するように設定しようとしています。それはそうではないようです。あらゆるパブリックアドレスからの翻訳を許可しているようです。

ACLを完全に「deny ip any any」ステートメントに変更しましたが、それでも許可されます。私は少し途方に暮れています。ルートマップは何もしていないようです。

どんな助けでも大歓迎です!

乾杯、

H

cisco  nat 
Firebirdnz
ソース
1
おかしい、私は今週末に同じ問題を調査していた。これは、VRF以外の状況でも発生します。残念ながら、仕事を終えることができませんでした。
RedShift 2015
何か回答がありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。
Ron Maupin

回答:

2

問題はVRF構成自体にあると考えているので、次を確認してください
。1。NATに関係するインターフェース(nat inside、nat outsideインターフェース)で「ip vrf forwarding Customer1-portforwarding」を構成する
2.アクセスリストでVRFルーティングテーブル。VRFルーティングテーブルを使用するには、ルートマップ構成の下に「set vrf Customer1-portforwarding」コマンドを追加する必要があり
ます
。3。ネクストホップを設定してルートマップをより具体的にします。4。「sh ip」を使用してNATを確認します。 nat translation 'コマンド


VRF上のこれらのURL NATを使用するVRF上の
ルートマップ

ガデリオ
ソース
1

この投稿が古いことに気づきましたが、この問題を抱えている場合に備えて、この投稿をフォローアップしたいと思います。

このNATを試行しているIPアドレスがグローバル外で、クライアントと同じVRFにあるかどうかを知りたいだけです。その場合は、試してみてください:match-in-vrf

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding match-in-vrf

他の2つの方法も試します。1。)ルートマップのACLを変更して、NATしたいIPと同じソースを持つようにします。NATルールを左から右に読んだ場合、変換が行われるまでこれを分析しない可能性があります。2.)ip nat outside source static tcp ...どちらが機能するかわかりませんが、次のようなデバッグを表示するとよいでしょう。

access-list 99 permit host 10.1.10.201
access-list 99 permit host x.x.x.x
!
debug ip nat 99
!
terminal length 0
!
show log
ジョセフドレイン
ソース
0

以下からポート22を削除してみてください。

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

マイク・ペニントン
ソース
これのテストが遅れてすみません。先週休暇になりました...親知らずの抜歯...楽しい時間...テストされたのは今朝尋ねられましたが悲しいことに運がありませんでした。
Firebirdnz
0

NATステートメントでは、ソースポートが内部アドレスで22であることを示していますが、ACLでは、DESTINATION側に "eq 22"を配置しています。ルートマップACLから「eq 22」を完全に削除するか、NATステートメントと一致するように正しい側(ソース)に配置してください。

fltsimbuff
ソース
0

ルートマップに問題があるようです。さらにトラブルシューティングを行うことができませんでした。

Firebirdnz
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.