Vpn
從路由器到 SSL-VPN 設備的 IP NAT
有沒有人使用 Cisco 891-K9 將 443/SSL 轉發到 SSL VPN 設備?
(我以前從未遇到過這種情況,因為面向公眾的路由器直接終止了 VPN,或者我們有多個公共 IP 來直接為 VPN 設備分配一個公共 IP)。
使用“ip nat inside source static tcp 44.55.66.255 443 10.10.10.150 443 可擴展”它應該將 SSL 請求轉發到 10.10.10.150 的 SSL VPN 設備,以便在那裡終止 VPN 請求。
但慘遭失敗,因為 891-K9 為 10.10.10.150 創建了一個虛擬 ARP 條目。所以兩個MAC具有相同的IP。
所以有 443 個請求被發送到它的介面。根據 NAT 語句,我無法通過 ssh 進入 SSL-VPN 設備,但是當狀態消失時,我可以 ssh 並且 ARP 重複警告消失。
*Nov 1 19:22:46.871: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc *Nov 1 19:23:18.083: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc *Nov 1 19:23:48.295: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc rtr#sh clock *19:24:26.487 UTC Sun Nov 1 2015 rtr#sh ip arp 10.10.10.150 Protocol Address Age (min) Hardware Addr Type Interface Internet 10.10.10.150 - e02f.6d96.8dd0 ARPA Vlan10 rtr#sh ip arp 10.10.10.150 Protocol Address Age (min) Hardware Addr Type Interface Internet 10.10.10.150 - e02f.6d96.8dd0 ARPA Vlan10 rtr#sh sh ip route 10.10.10.150
Cisco TAC 目前正在嘗試重現此問題以向開發人員報告。
有沒有其他人遇到過這個問題或解決方法?
謝謝。
愚蠢的錯誤。
由於 SSL VPN 設備是“自然內部”的設備,因此我們必須採用其他方式。
如“ip nat inside source static tcp 10.10.10.150 43 44.55.66.255 43”
基本上將設備從翻譯中排除,並且不創建另一個 arp 條目。