Am făcut un tunel IPsec între CSR 1000v (AWS) și routerul furnizorului de servicii LTE (ASR) și pot ping ambele părți ale Tunnelului cu următoarea arhitectură:
|<---> internet <---> server web 134.231.4.100
CSR 1000v: |GigabitEthernet1 12.21.0.134 (mapat la Elastic IP 54.154.54.AAA)
|GigabitEthernet2 12.21.4.50 (subrețea privată)
|
|
ASR: 10.0.16.1 (mapat la Elastic IP 54.229.30.BBB)
|
Dispozitiv de câmp 10.0.16.100
Trebuie să accesăm serverul nostru web cu IP-ul public 134.231.4.100, iar setând NAT-ul îl pot accesa (sau orice adresă IP publică) din domeniul din interior 12.21.0.0/16 interval, unde lista de acces NAT este setată ca:
CSR1000#show acces-liste
Lista de acces IP standard GS_NAT_ACL
10 permis 192.168.35.0, biți wildcard 0.0.0.255
Lista extinsă de acces IP NAT-LAN
10 permis ip 12.21.4.0 0.0.0.255 orice
De asemenea, trebuie să fac un trafic între nodurile din spatele tunelului IPsec (10.0.16/22), așa că am extins listele de acces NAT-LAN la:
CSR1000#show acces-liste NAT-LAN
Lista extinsă de acces IP NAT-LAN
10 permis ip 12.21.4.0 0.0.0.255 orice
20 permis ip 10.0.16.0 0.0.0.255 orice
dar nu pot face ping la serverul web de pe dispozitivul de teren 10.0.16.100 (sau nodurile din spatele tunelului IPsec).
Ați putea vă rog să-mi spuneți dacă trebuie să adaug/modific configurația pentru a oferi acces la internet dispozitivelor din domeniu (sau a redirecționa traficul de la nodurile IPSec la internet)?
