перегрузка NAT и ACL с проблемами трафика WAN
-
Здравствуйте, У меня есть маршрутизатор ISR829 LTE с модулем Switch. Полагаю, у меня возникла проблема с обратным трафиком из Интернета для некоторых устройств IoT, которые я поместил в новую подсеть и VLAN. Предполагаю, что проблема заключается в том, что когда трафик возвращается из сети поставщика, я не разрешаю его правильно, например, мне нужно разрешить любой трафик для этого конкретного трафика или разрешить IP-адрес интерфейса Cellular0/0, а не внутреннюю подсеть IoT. Я пытаюсь придумать, как лучше всего решить эту проблему. Последнее, что я попробовал, — это отразить ACL, но это тоже не сработало. Итак, вот что у меня есть на данный момент:
интерфейс vlan10
описание DATA-NETWORK
ip-адрес 172.16.10.0 255.255.255.0
интерфейс vlan 20
описание IOT-NETWORK
ip адрес 192.168.20.0 255.255.255.0
ip access-group ACL-IOT in
ip nat inside интерфейс Cellular0/0
ip nat outside
ip access-group ACL-ACCESS in access-list 20 permit 192.168.20.0 0.0.0.255
ip nat inside source list 20 интерфейс Cellular0/0 overload ip access-list extended ACL-IOT
10 deny ip any 172.16.10.0 0.0.0.255
10 permit tcp any any eq 443 reflect IOTFLEX
20 permit udp any any eq domain reflect IOTFLEX
30 permit udp any any eq ntp reflect IOT FLEX
40 deny ip any any
ip access-list extended ACL-ACCESS
10 evaluate IOTFLEX
20 (ряд правил разрешения для VPN для трафика DATA-NETWORK и MGMT)
30 deny ip any any
Моя главная забота — открытие правил для пропуска трафика и создание угрозы для DATA-NETWORK. В настоящее время для этого трафика используется VPN-соединение с нашей сетью. Я пытаюсь заставить эти устройства IoT использовать только сотовое интернет-соединение и не допускать их в DATA-NETWORK.
Поэтому, если я разрешу сеть поставщика с такими правилами, как...
ip access-list extended ACL-ACCESS
permit tcp VENDOR-IP CELLULAR0/0-IP eq 443
Как я могу убедиться, что трафик не попадает в сеть передачи данных? Должен ли я использовать маршрутную карту, чтобы заставить все IP-адреса поставщика указывать на интерфейс VLAN20, или NAT-преобразования позаботятся об этом? Есть ли лучший способ сделать это?
Спасибо. -
Здравствуйте,
я не вижу, чтобы оба отражающих ACL вызывались сотовым интерфейсом, кроме того, трафик будет состоятельным, поэтому разрешен только обратный трафик, если/когда сеанс был инициирован внутренне.
Попытайтесь сделать следующее:
no ip access-list extended ACL-ACCESS
no ip access-list extended ACL-IOT ip access-list extended ACL-ACCESS_IN
10 (ряд правил разрешения для VPN для трафика DATA-NETWORK и MGMT)
100 evaluate IOTFLEX ip access-list extended ACL-IOT_OUT
10 deny ip any 172.16.10.0 0.0.0.255
10 permit tcp any any eq 443 reflect IOTFLEX
20 permit udp any any eq domain reflect IOTFLEX
30 permit udp any any eq ntp reflect IOT FLEX interface Cellular0/0
ip nat outside
ip access-group ACL-ACCESS in
ip access-group ACL-IOT_OUT out Пожалуйста, оцените и отметьте как принятое решение, если вы нашли полезной какую-либо из предоставленной информации.
Это поможет другим участникам форума найти ценный ответ и расширит глобальную сеть сообщества.
С уважением,
Пол -
(Извини, Пол, забыл ответить на твое сообщение, а не только на ветку)
Так что ACL Reflect должны быть на одном и том же внешнем интерфейсе? В настоящее время нет исходящего ACL, предположительно разрешающего только VPN-трафик из Cellular0/0 и теперь трафик IOT, который был подвергнут NAT.
Я бы поместил команду Evaluate ПОСЛЕ deny ip any any?? Разве тогда весь трафик не будет заблокирован до того, как достигнет списка evaluate IOTFLEX? -
Здравствуйте,
да, это была опечатка — я уже исправил ее. Применение
этих настроек к внешнему интерфейсу должно разрешать трафик только в том случае, если исходная сессия была установлена внутренне
. Если вы примените ACL к внутреннему интерфейсу (поменяв местами ACL), то трафик потенциально может попасть в RTR и достичь других областей вашей сети без оценки. — очевидно, что это исключит любой внутренний интерфейс, к которому применяются отражающие ACL, которые затем все равно должны гарантировать инициирование сеанса с этого внутреннего интерфейса для оценки. Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо из предоставленной информации полезной.
Это поможет другим участникам форума найти ценный ответ и расширит глобальную сеть сообщества.
С уважением,
Пол -
Спасибо за разъяснение, Пол, теперь все понятно. Попробую.
-
EDIT: Хотел ответить напрямую Полу
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти