Кто-нибудь использовал Cisco 891-K9 для пересылки 443 / SSL на устройство SSL VPN?
(Я никогда раньше не сталкивался с этой ситуацией, потому что либо общедоступный маршрутизатор завершал VPN напрямую, либо у нас было несколько общедоступных IP-адресов, чтобы назначить устройству VPN напрямую общедоступный IP-адрес).
С "ip nat inside source static tcp 44.55.66.255 443 10.10.10.150 443 расширяемым" предполагается, что запрос SSL будет перенаправлен на устройство SSL VPN по адресу 10.10.10.150, чтобы запросы VPN завершались там.
Но неудачно, потому что 891-K9 создал виртуальную запись ARP для 10.10.10.150. Итак, два MAC с одинаковым IP.
Таким образом, на его интерфейс было отправлено 443 запроса. После заявления NAT я не могу подключиться по ssh к устройству SSL-VPN, но как только состояние состояния исчезнет, я могу отключить предупреждение ssh и ARP dupliacte.
*Nov 1 19:22:46.871: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc
*Nov 1 19:23:18.083: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc
*Nov 1 19:23:48.295: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc
rtr#sh clock
*19:24:26.487 UTC Sun Nov 1 2015
rtr#sh ip arp 10.10.10.150
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.10.10.150 - e02f.6d96.8dd0 ARPA Vlan10
rtr#sh ip arp 10.10.10.150
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.10.10.150 - e02f.6d96.8dd0 ARPA Vlan10
rtr#sh sh ip route 10.10.10.150
Центр технической поддержки Cisco пытается воспроизвести эту проблему, чтобы сообщить об этом разработчику.
У кого-нибудь еще была эта проблема или обходной путь?
Спасибо.
Глупая ошибка.
Поскольку устройство SSL VPN является «естественным внутри», мы должны сделать это наоборот.
как в "ip nat inside source static tcp 10.10.10.150 43 44.55.66.255 43"
По сути, исключение устройства из перевода и не создание другой записи arp.