有人使用 Cisco 891-K9 将 443/SSL 转发到 SSL VPN 设备吗?
(我以前从未遇到过这种情况,因为面向公众的路由器直接终止了 VPN,或者我们有多个公共 IP 可以直接为 VPN 设备分配一个公共 IP)。
使用“ip nat inside source static tcp 44.55.66.255 443 10.10.10.150 443 extendable”,它应该将 SSL 请求转发到 10.10.10.150 的 SSL VPN 设备,以便在那里终止 VPN 请求。
但失败了,因为 891-K9 为 10.10.10.150 创建了一个虚拟 ARP 条目。因此两个 MAC 具有相同的 IP。
因此,有 443 个请求被发送到其接口。在 NAT 语句之后,我无法通过 ssh 进入 SSL-VPN 设备,但是语句消失后,我就可以 ssh 并且 ARP 重复警告会消失。
*Nov 1 19:22:46.871: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc
*Nov 1 19:23:18.083: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc
*Nov 1 19:23:48.295: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc
rtr#sh clock
*19:24:26.487 UTC Sun Nov 1 2015
rtr#sh ip arp 10.10.10.150
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.10.10.150 - e02f.6d96.8dd0 ARPA Vlan10
rtr#sh ip arp 10.10.10.150
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.10.10.150 - e02f.6d96.8dd0 ARPA Vlan10
rtr#sh sh ip route 10.10.10.150
Cisco TAC 目前正在尝试重现此问题并报告给开发人员。
还有其他人遇到过这个问题或有解决方法吗?
谢谢。
答案1
愚蠢的错误。
由于 SSL VPN 设备是“nat 内部”设备,因此我们必须以其他方式进行操作。
如“ip nat inside source static tcp 10.10.10.150 43 44.55.66.255 43”
基本上将设备排除在转换之外并且不创建另一个 arp 条目。