NAT no funciona

vivarock12 · ‎02-20-2019

Hola,

El problema es el siguiente el estoy migrando un router con uns Cat 9500 con Virtual stackwise y tengo un problema con un nat estico.

tengo un servidor con la ip 172.31.6.2 y necesito que se sea nateado a la 10.12.12.2 y solo permitir acceso a ciertos LAN que estan en los mismos cat 9500 a este nat.

ip access-list stand SERVER_PRODUC
permit 10.12.12.0 0.0.0.255
permit 172.31.4.0 0.0.0.255
permit 172.31.21.0 0.0.0.255
permit 172.31.22.0 0.0.0.255
permit 172.31.23.0 0.0.0.255
permit 172.31.24.0 0.0.0.255
permit 172.31.25.0 0.0.0.255
permit 172.31.27.0 0.0.0.255
permit 172.31.248.0 0.0.0.3
permit 172.31.50.0 0.0.0.255
!
route-map RM_SERVER_PRODU permit 10
match ip address SERVER_PRODUC
!
ip nat inside source static 172.31.6.2 10.12.12.2 route-map RM_SERVER_PRODU
!

interface VLAN 12
ip address 10.12.12.42 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp

ip nat outside
!
interface VLAN 6
ip address 172.31.6.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp

ip nat inside
!
interface VLAN 23
ip address 172.31.23.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface VLAN 24
ip address 172.31.24.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface VLAN 25
ip address 172.31.25.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface VLAN 26
ip address 172.31.26.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface VLAN 27
ip address 172.31.27.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!

El problema es que se logra hacer ping the las Lan a la ip nateada pero no se puede accesder al servicio que se necesita, y tambien no se ven esos ping nateados en el sho ip nat translation.

Julio E. Moisa · ‎02-20-2019

Hola

Intenta con:

ip access-list extended SERVER_PRODUC
permit 10.12.12.0 0.0.0.255 any
permit 172.31.4.0 0.0.0.255 any
permit 172.31.21.0 0.0.0.255 any
permit 172.31.22.0 0.0.0.255 any
permit 172.31.23.0 0.0.0.255 any
permit 172.31.24.0 0.0.0.255 any
permit 172.31.25.0 0.0.0.255 any
permit 172.31.27.0 0.0.0.255 any
permit 172.31.248.0 0.0.0.3 any
permit 172.31.50.0 0.0.0.255 any
!
route-map RM_SERVER_PRODU permit 10
match ip address SERVER_PRODUC
!
ip nat inside source static 172.31.6.2 10.12.12.2 route-map RM_SERVER_PRODU

Lo otro es que esta red o IP 10.12.12.2 debe ser conocida por el router vecino.

Quedo al pendiente.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

vivarock12 · ‎02-24-2019

El nat es dentro del mismo equipo con esto me refiero LANs que estan definidas en el mismo equipo deben de poder llegar a la ip nateada.

De igual manera realize pruebas con esta definicion en el access-list y no funciono alguna otra idea?

Diana Karolina Rojas · ‎02-21-2019

Buenos días estimado,

Creo que el error se encuentra en tu ACL, para hacer el condicional unicamente a esa IP de destino tu ACL debería ser:

ip access-list ext SERVER_PRODUC

permit ip 10.12.12.0 0.0.0.255 host 10.12.12.2
permit ip 172.31.4.0 0.0.0.255 host 10.12.12.2
permit ip 172.31.21.0 0.0.0.255 host 10.12.12.2
permit ip 172.31.22.0 0.0.0.255 host 10.12.12.2
permit ip 172.31.23.0 0.0.0.255 host 10.12.12.2
permit ip 172.31.24.0 0.0.0.255 host 10.12.12.2
permit ip 172.31.25.0 0.0.0.255 host 10.12.12.2
permit ip 172.31.27.0 0.0.0.255 host 10.12.12.2
permit ip 172.31.248.0 0.0.0.3 host 10.12.12.2
permit ip 172.31.50.0 0.0.0.255 host 10.12.12.2
!

Me comentas como te fue.

Por favor no olvides calificar las respuestas útiles, tu calificación promueve nuestra participación.

Saludos,

vivarock12 · ‎02-24-2019

El nat es dentro del mismo equipo, con esto me refiero LANs que estan definidas en el mismo equipo y estan deben de poder llegar a la ip nateada y como les comento si responde ping pero nada mas funciona(e.g: telnet).

De igual manera realize pruebas con esta definicion en el access-list y no funciono alguna otra idea?