ASR 1000 zmiana adresu destination

Problemy związane z routingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
felix
wannabe
wannabe
Posty: 122
Rejestracja: 13 lis 2014, 21:46

ASR 1000 zmiana adresu destination

#1

#1 Post autor: felix » 10 gru 2016, 01:04

Czy istnieje na cisco ASR 1000 możliwość zmiany adresu destination przed podjęciem decyzji o routingu na podstawie adresu źródłowego pakietu ? Coś na zasadzie dnat w linux.

Pisząc "na podstawie adresu źródłowego" miałem na myśli, aby mechanizm działał w zależności od adresu źródłowego pakietu.

doxer
member
member
Posty: 31
Rejestracja: 25 lut 2009, 07:09

Re: ASR 1000 zmiana adresu destination

#2

#2 Post autor: doxer » 11 gru 2016, 08:46

Tak, poczytaj o Policy Based Routing (PBR)

felix
wannabe
wannabe
Posty: 122
Rejestracja: 13 lis 2014, 21:46

Re: ASR 1000 zmiana adresu destination

#3

#3 Post autor: felix » 12 gru 2016, 10:00

Dzięki za odpowiedź. PBR potrafi zmienić next-hop adres lub zmusić pakiet do wyjścia konkretnym interfejsem, ale nadal adres dst w nagłówku pozostanie bez zmian. Tymczasem ja muszę dla określonych adresów source przekierować cały ruch www na "podstawiony" serwer http. Nie chciałbym tego robić dodając 10 urządzeń, bo rozwiązanie z PBR miałoby rację bytu gdyby za ASR postawić kolejny router, który potrafi zrobić dst nat.

Chyba, że źle rozumiem użycie PBR :)

piter1789
wannabe
wannabe
Posty: 189
Rejestracja: 01 wrz 2014, 10:46

Re: ASR 1000 zmiana adresu destination

#4

#4 Post autor: piter1789 » 12 gru 2016, 10:16

a czy przypadkiem nie chcesz robić coś ala wccp?;) czy źle rozumiem?

felix
wannabe
wannabe
Posty: 122
Rejestracja: 13 lis 2014, 21:46

Re: ASR 1000 zmiana adresu destination

#5

#5 Post autor: felix » 12 gru 2016, 11:48

piter1789 pisze:a czy przypadkiem nie chcesz robić coś ala wccp?;) czy źle rozumiem?
Chcę robić coś bardzo podobnego do wccp, ale w mocno uproszczonej formie. Muszę zrobić tak, aby ruch do portu 80 z określonych adresów ip był kierowany zawsze do jednego "podstawionego" serwera http w sieci wewnętrznej. Chodzi o zablokowanie ruchu www do czasu kliknięcia potwierdzenia na stronie która jest na podstawionym serwerze. Po kliknięciu adres zostanie zdjęty z acl/route-mapy łapiącej po adresach src.

Na linuxie czy mikrotiku można to łatwo osiągnąć robiąc dst nat.

piter1789
wannabe
wannabe
Posty: 189
Rejestracja: 01 wrz 2014, 10:46

Re: ASR 1000 zmiana adresu destination

#6

#6 Post autor: piter1789 » 12 gru 2016, 14:08

zobacz w ten temat:

http://ccie.pl/viewtopic.php?f=42&t=22864

na końcówkę..

felix
wannabe
wannabe
Posty: 122
Rejestracja: 13 lis 2014, 21:46

Re: ASR 1000 zmiana adresu destination

#7

#7 Post autor: felix » 12 gru 2016, 15:25

piter1789 pisze:zobacz w ten temat:

http://ccie.pl/viewtopic.php?f=42&t=22864

na końcówkę..
Dzięki za podrzucenie, ale ASR nie potrafi zrobić czegoś takiego:

Kod: Zaznacz cały

nat (outside,inside) source static 8.8.8.8 8.8.8.8 destination static 4.4.4.4 192.168.1.1 service TCP80 TCP80

Kod: Zaznacz cały

ip nat inside source static 8.8.8.8 8.8.8.8 ?
  extendable  Extend this translation when used
  mapping-id  Associate a mapping id to this mapping
  no-alias    Do not create an alias for the global address
  no-payload  No translation of embedded address/port in the payload
  redundancy  NAT redundancy operation
  route-map   Specify route-map
  vrf         Specify vrf
  <cr>
Może jeszcze jakieś pomysły ? :)

piter1789
wannabe
wannabe
Posty: 189
Rejestracja: 01 wrz 2014, 10:46

Re: ASR 1000 zmiana adresu destination

#8

#8 Post autor: piter1789 » 12 gru 2016, 15:52

a sorki, zapomniałem, że masz ASR a nie ASA;)

felix
wannabe
wannabe
Posty: 122
Rejestracja: 13 lis 2014, 21:46

Re: ASR 1000 zmiana adresu destination

#9

#9 Post autor: felix » 29 kwie 2019, 11:21

Może komuś się to przyda jeszcze. Rozwiązaniem jest ISG i l4redirect. Mocno dziwna logika, ale ostatecznie działa zgodnie z założeniami.

ODPOWIEDZ