最近、動的なNATをインターフェースに追加すると、RPFの失敗でインターフェースを通過するすべての変換されたトラフィックが壊れるという問題に遭遇しました。コマンドの追加により、NATリバースパスフィルタリングにより、インターフェイス上のほとんどのトラフィックのドロップを開始しました。以前はRPFチェックが行われていませんでした(または少なくとも、以前はpacket-tracer
結果に表示されていませんでした)。
インターフェースにはすでに数百のNAT除外、静的、および動的ポリシーNATがありましたが、最初の動的NATを追加すると、/ 29のソース制限が少しあり、失敗した変換の99%に関係のない宛先インターフェース)が障害を引き起こしました。
壊れたのは次のとおりです。
nat (Public) 33 172.16.14.0 255.255.255.248 outside tcp 0 0 udp 0
global (Voice) 33 10.0.8.180 netmask 255.255.255.255
RPFで参照されるルールが失敗するのは、内部の主要なPATルールでした。追加された構成については、そのルールの正常な逆転を妨げるものはありません。
Phase: 9
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
nat (public) 0 0.0.0.0 0.0.0.0 outside
nat-control
match ip Public any inside any
no translation group, implicit deny
policy_hits = 7274
Additional Information:
完全なpacket-tracer
結果の前NAT追加: http://pastey.net/1496 以降:- http://pastey.net/149631
したがって、問題は次のとおりです。これは本当にNAT RPFの動作です-インターフェースに動的なNATがアタッチされた後のインターフェースのフィルタリングのみ?なぜ動的なのですか? NATトリガーしますが、動的ポリシーNAT(まったく同じように動作しますが、ソースだけでなくソースと宛先が指定されています)はトリガーしませんでしたか?または、暗黙の許可だけで常に発生していました動的NATが存在するまでインターフェイス上で、ルールが一致しない場合は暗黙の拒否に変わりますか?
5520は、必要に応じて8.2.2を実行します
最初のパケットトレーサーの結果を見ると、NAT制御が有効になっているようです。 NAT制御が有効になっているときに動的NATを外部インターフェイスに追加する場合、インターフェイスへのすべてのトラフィックがNATステートメントと一致する必要があります。 Cisco ASA 550シリーズコンフィギュレーションガイド-Configuring NAT Control
これが、動的NATが適用されると動作の変化を見る理由です。 NATコントロールが外側に適用されており、既存のNAT外側のルールはこの状況には適切ではありません。 config。最も簡単な解決策は、NATコントロールを無効にすることです(NATコントロールなし)。
NAT低セキュリティインターフェイスから高セキュリティインターフェイスにしようとしていますか?そうである場合、静的NATを行う必要があります。このような場合、動的NAT=は使用できません。
複数のWANインターフェースがある場合、NATが間違ったインターフェースからパケットを転送していて、アドレスが正しくないためにuRPFがそれらをドロップしている可能性があります(- 参照:シスコ )。万が一、シスコエクスプレスフォワーディングを有効にしていますか?