Buy or Renew
Buy or Renew
Cisco + Splunk: It’s a new day for your data. Learn more.
 
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
cancel
Start a conversation
1268
Views
0
Helpful
6
Replies

Tabla de Traducciones NAT

alexis41
Level 1
Level 1

‎03-27-2022 07:27 PM - edited ‎03-27-2022 07:43 PM

Amigos, buen día.

 

Una consulta respecto a NAT. Estuve leyendo esta documentacion 

https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/13739-nat-routemap.html

y me parecio interesante lo siguiente:

 

Información de contexto
NAT solo usa listas de acceso y mapas de ruta cuando necesita crear una entrada de traducción. Si ya existe una entrada de traducción que coincide con el tráfico, se utiliza la entrada de traducción; no se consultarán listas de acceso ni mapas de ruta. La diferencia entre usar una lista de acceso o un mapa de ruta es el tipo de entrada de traducción que se creará.

 

Según ello mi consulta, la documentación parece hacer referencia a NAT dinámico. Ese detalle también involucra a NAT estático?

 

Para sacarme de dudas arma un laboratorio con la siguiente información:

 

 

(R1) 20.0.0.1 -------- 20.0.0.2 (R2) 100.0.0.1 ------- 100.0.0.2 (R3) 172.16.1.1 ----- (PC8 .8) ( PC10 .10) (PC9 .9)

 

 

 

Configuración R2

 

Solo brinde accesos en la lista de acceso para que la IP: 20.0.0.1 se traduzca en caso quiera comunicarse con las PC8(172.16.1.8) y PC10(172.16.1.10) pero no con PC9(172.16.1.9) 

 

ip nat inside source static 20.0.0.1 172.27.2.8 route-map PC8
ip nat inside source static 20.0.0.1 172.27.2.10 route-map PC10

 

route-map PC10 permit 10
 match ip address pc10
route-map PC8 permit 10
 match ip address pc8

 

ip access-list extended pc10
 permit ip host 20.0.0.1 host 172.16.1.10
ip access-list extended pc8
 permit ip host 20.0.0.1 host 172.16.1.8

Al realizar la configuración, observé que ya se había creado la tabla de traducciones

 

Pro Inside global      Inside local       Outside local      Outside global
--- 172.27.2.8         20.0.0.1           ---                ---
--- 172.27.2.10        20.0.0.1           ---                ---

 

Realicé 2 pruebas, de ida y vuelta.

 

IDA

 

IP: 20.0.0.1 --> PC8 172.16.1.8: Exitoso, y se verificó que aumentó el contador en la lista de acceso
IP: 20.0.0.1 --> PC9 172.16.1.9: No había comunicación, según lo planeado
IP: 20.0.0.1 --> PC10 172.16.1.10: Exitoso, y se verificó que aumentó el contador en la lista de acceso

 

VUELTA

 

PC8 172.16.1.8 --> IP: 172.27.2.8 / 172.27.2.10 - 20.0.0.1: Había comunicación pero el contador en la lista de acceso no incrementaba
PC9 172.16.1.9 --> IP: 172.27.2.8 / 172.27.2.10 - 20.0.0.1: Había comunicación pero el contador en la lista de acceso no incrementaba
PC10 172.16.1.10 --> IP: 172.27.2.8 / 172.27.2.10 - 20.0.0.1: Había comunicación pero el contador en la lista de acceso no incrementaba

 

Reforzando mi consulta en lineas arriba. ¿A qué se debe ese comportamiento? Parece ser que de ida el router si actúa de manera natural(usa route map,access list), pero en la vuelta solo parece que le interesa la tabla de traducciones.

 

Intenté buscar información en documentación pero no lo encontré o parece que se eliminó

 

Les agradezco de antemano.

 

0 Helpful
6 Replies 6

Georg Pauwen
VIP
VIP

‎03-28-2022 12:23 PM

Hola,

 

el siguiente enlace podría ofrecer más información:

 

https://www.ciscozine.com/using-route-maps-for-conditional-nat/

0 Helpful

alexis41
Level 1
Level 1
In response to Georg Pauwen

‎03-28-2022 05:43 PM

Hola Jorge

 

Gracias por la respuesta. 

 

Anteriormente si había revisado ese link pero no encontré información cuando el tráfico se genera desde el lado outside. Al parecer es antigüo y lo eliminaron.

 

Conocerás alguna página que tenga esa información? No hay problema si es extenso.

 

Saludos,

0 Helpful

Georg Pauwen
VIP
VIP
In response to alexis41

‎03-29-2022 02:26 AM

Hola,

 

de verdad, he observado que  en la vuelta también el contador de lista de acceso incrementa. Trabajo en GNS3 e utilizo los imágenes IOSv.

0 Helpful

alexis41
Level 1
Level 1
In response to Georg Pauwen

‎03-29-2022 07:08 AM

Hola Jorge,

 

Por curiosidad, la prueba que realizaste lo hiciste del lado outside al inside, es decir, lanzando ping de las PCs hacia las IPs 172.27.2.10 o 172.27.2.8?

 

Te adjunto las capturas de las pruebas que he realizado.

 

IDA Prueba de R1 a la PC8(IP: 172.16.1.8)

R1.PNG

 

VUELTA Pruebas desde las PCs(172.16.1.8, 172.16.1.9, 172.16.1.10) hacia la IP 172.27.2.8

 

Se observan las traducciones pero no el incremento de "match". Solo 1 debido a la prueba realizada anteriormente.

R2.PNG

 

saludos,

0 Helpful

Georg Pauwen
VIP
VIP
In response to alexis41

‎03-29-2022 07:37 AM

Hola, 

 

la prueba que hago es del lado outside al inside:

 

R2#sh access-lists
Extended IP access list pc10

 

PC10> ping 20.0.0.1

 

R2#sh access-lists
Extended IP access list pc10
10 permit ip host 20.0.0.1 host 172.16.1.10 (5 matches)

0 Helpful

alexis41
Level 1
Level 1
In response to Georg Pauwen

‎03-29-2022 03:57 PM

Hola George,

 

Me parece extraño. Por curiosidad le agregaste ip access-group pc10 in/out en la interfaz? De mi lado no agregué ese comando.

 

Además, el ping lo vengo realizando hacia las IPs NAT: 172.27.2.8 y 172.27.2.9, y no a la IP: 20.0.0.1

 

saludos.

0 Helpful
Customers Also Viewed These Support Documents