Strona 1 z 1
ASR 1000 zmiana adresu destination
: 10 gru 2016, 01:04
autor: felix
Czy istnieje na cisco ASR 1000 możliwość zmiany adresu destination przed podjęciem decyzji o routingu na podstawie adresu źródłowego pakietu ? Coś na zasadzie dnat w linux.
Pisząc "na podstawie adresu źródłowego" miałem na myśli, aby mechanizm działał w zależności od adresu źródłowego pakietu.
Re: ASR 1000 zmiana adresu destination
: 11 gru 2016, 08:46
autor: doxer
Tak, poczytaj o Policy Based Routing (PBR)
Re: ASR 1000 zmiana adresu destination
: 12 gru 2016, 10:00
autor: felix
Dzięki za odpowiedź. PBR potrafi zmienić next-hop adres lub zmusić pakiet do wyjścia konkretnym interfejsem, ale nadal adres dst w nagłówku pozostanie bez zmian. Tymczasem ja muszę dla określonych adresów source przekierować cały ruch www na "podstawiony" serwer http. Nie chciałbym tego robić dodając 10 urządzeń, bo rozwiązanie z PBR miałoby rację bytu gdyby za ASR postawić kolejny router, który potrafi zrobić dst nat.
Chyba, że źle rozumiem użycie PBR
Re: ASR 1000 zmiana adresu destination
: 12 gru 2016, 10:16
autor: piter1789
a czy przypadkiem nie chcesz robić coś ala wccp?;) czy źle rozumiem?
Re: ASR 1000 zmiana adresu destination
: 12 gru 2016, 11:48
autor: felix
piter1789 pisze:a czy przypadkiem nie chcesz robić coś ala wccp?;) czy źle rozumiem?
Chcę robić coś bardzo podobnego do wccp, ale w mocno uproszczonej formie. Muszę zrobić tak, aby ruch do portu 80 z określonych adresów ip był kierowany zawsze do jednego "podstawionego" serwera http w sieci wewnętrznej. Chodzi o zablokowanie ruchu www do czasu kliknięcia potwierdzenia na stronie która jest na podstawionym serwerze. Po kliknięciu adres zostanie zdjęty z acl/route-mapy łapiącej po adresach src.
Na linuxie czy mikrotiku można to łatwo osiągnąć robiąc dst nat.
Re: ASR 1000 zmiana adresu destination
: 12 gru 2016, 14:08
autor: piter1789
Re: ASR 1000 zmiana adresu destination
: 12 gru 2016, 15:25
autor: felix
Dzięki za podrzucenie, ale ASR nie potrafi zrobić czegoś takiego:
Kod: Zaznacz cały
nat (outside,inside) source static 8.8.8.8 8.8.8.8 destination static 4.4.4.4 192.168.1.1 service TCP80 TCP80
Kod: Zaznacz cały
ip nat inside source static 8.8.8.8 8.8.8.8 ?
extendable Extend this translation when used
mapping-id Associate a mapping id to this mapping
no-alias Do not create an alias for the global address
no-payload No translation of embedded address/port in the payload
redundancy NAT redundancy operation
route-map Specify route-map
vrf Specify vrf
<cr>
Może jeszcze jakieś pomysły ?
Re: ASR 1000 zmiana adresu destination
: 12 gru 2016, 15:52
autor: piter1789
a sorki, zapomniałem, że masz ASR a nie ASA;)
Re: ASR 1000 zmiana adresu destination
: 29 kwie 2019, 11:21
autor: felix
Może komuś się to przyda jeszcze. Rozwiązaniem jest ISG i l4redirect. Mocno dziwna logika, ale ostatecznie działa zgodnie z założeniami.