どのようにして、ASAがOSPFゾーンにNATされた「外部」アドレスをアナウンスするのですか？

デバイスの配置は次のとおりです。

   BGP Peers
       +
       |
       |
+------+-------+
|              |
| Juniper MX5  |
|              |
+------+-------+
       |.254
  OSPF | 10.0.1.0/24
       |.1
+------+-------+
|              |
|  Cisco ASA   | ASA NAT
|              | 10.0.0.1 <> 134.0.15.1
+------+-------+
       |.254
       |10.0.0.0/24
       |.1
+------+-------+
|              |
|    HOST1     |
|              |
+--------------+

ASAが静的にルーティングされていないアドレス空間にNATを実行している場合、最上位のルーター（Juniper MX5）が到達する方法を知るために、OSPFゾーンにアナウンスされたNATアドレスをどのように取得しますか？

（FYIこれは、この問題に関与するコンポーネントを示すためだけに、はるかに大きなネットワークから大幅に簡略化されたスライスです）

ospf cisco-asa

— サイモン・J・グリーン
ソース

Juniperルーターの134.0.15.1と同じサブネットにIPがありますか？

— PacketWrangler

@PacketWranglerいいえ、ルーティングプロトコルとしてのプライベートネットワークw / OSPFです。わかりやすくするために図を微調整しました。

— SimonJGreen

一方の側に10.0.1.0/24があり、もう一方の側に10.0.0.0/24がある場合、134.0.15.1はどのようにルーティングに適合しますか？

— ポール・ギア

MX5へのBGP、次に内部デバイスへのOSPF。それはまさに質問です:)

— SimonJGreen

ASAでNATを使用している理由を質問できますか？ASAの背後にあるホストで134.0.15.0/24（/ 24があると仮定）を使用するだけで、NATを回避した方がよいと思われます。次に、ASA「内部」の10.0.0.254の代わりに134.0.15.254を配置し、ホスト134.0.15.1を割り当てます。次に、ASAでOSPFを設定すると、MX5に134.0.15.0/24があることをアドバタイズします。

— PacketWrangler

回答:

通常、ASAからネットワークをアドバタイズしようとするのではなく、NAT外部ネットワークを指すアップストリームデバイス（この例ではJuniper MX5）に静的ルートをインストールします。少なくとも、それは私がいつもそれについて行く方法です。

— ジェレミーストレッチ
ソース

したがって、たとえば、NATのアドレスの「プール」とMX5からそれらへの静的ルートを確保できますか？OSPFゾーンに他のダウンストリームデバイスがある場合、これは複数のアップストリームデバイスにどのように拡張されますか？

— SimonJGreen

この質問には答えられているので、私はもともとここに投稿しませんでしたが、静的セッションをOSPFセッションに移動することに関する他の投稿を見た後、この問題を回避できると思いました。

ASAでは、パブリックアドレススペース（たとえば、134.0.15.0 / 30）の静的ルートを作成し、そのルートをOSPFに再配布できます。「外部」インターフェイスでOSPFセッションを確立するための適切な構成があると仮定すると、静的ルートを北にアドバタイズします。

注：これにより、「内部」インターフェースのピアにもルートがアドバタイズされます。これは、デバイスのルーティングテーブルに表示される以外の問題ではありません。

— ビッグストーン
ソース