cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
1086
Visitas
15
ÚTIL
6
Respuestas

ayuda con acl y nat overload

javierzuleta
Level 1
Level 1

esquema cisco.jpg

 

tengo ese esquema de red.

 

y quiero agregar lo siguiente ya que no se puede usar acl extendida por que la interfaz esta con el overload.

 

 

access-list 1 permit 10.10.100.0   0.0.0.255

access-list 1 permit 10.0.10.0       0.0.0.255

access-list 1 permit 10.0.20.0       0.0.0.255               (los vlan 20 | 30 | 40 | pensando en una futura expansión) 

access-list 1 permit 10.0.30.0       0.0.0.255

access-list 1 permit 10.0.40.0       0.0.0.255

access-list 1 permit 192.168.0.0   0.0.255.255

#ip nat inside source list 1 pool LISTAS_HOST_LAN overload

 

nose si es correcto usar todas esas access_list o ¿como debo hacerlo?

 

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Hola @javierzuleta 

 

El comando ip nat inside source list 1 pool EJEMPLO overload asocia la ACL 1 al pool indicado en el comando.

Si quieres permitir mas redes, solo debes agregar mas entradas a la ACL 1, sin tener que reingresar la asociación previa.

 

En otras palabras:

al agregar mas access-list solo agrego eso o igual el nat?
ejemplo: access-list 1 permit 10.0.30.0 0.0.0.255

R: Correcto, basta con ingresar mas entradas a la ACL 1.

 

Recuerda aplicar el nateo en las interfaces, como te comentó @Julio E. Moisa 

 

Saludos

 

 

Ver la solución en mensaje original publicado

6 RESPUESTAS 6

luis_cordova
VIP Alumni
VIP Alumni

Hola @javierzuleta 

 

Si se pueden usar varias entradas de la ACL para indicar las redes permitidas del nateo.

Ahora bien, por temas de seguridad, te recomiendo agregar esta entradas cuando expandas la red y no antes, pues puedes tener estar dejando una puerta abierta.

Tambien te sugiero acotar la máscara de red de la última entrada, pues está indica una mascar 16 y en tu esquema, al parecer, esta máscara es más corta.

La idea es tratar de ser lo más específico en lo que permites, pues así no dejas espacio para posibles ataques.

 

Saludos

me recomienda agregar las vlan cuando se necesiten. una consulta:

al agregar mas access-list solo agrego eso o igual el nat?
ejemplo: access-list 1 permit 10.0.30.0 0.0.0.255

o de esta forma:
access-list 1 permit 10.0.30.0 0.0.0.255
ip nat inside source list 1 pool EJEMPLO overload

Te recomiendo utilizar ACL nombrada porque al eliminar una linea no borra el resto:

 

ip access-list standard MIS-REDES-NAT

permit 10.0.30.0 0.0.0.255

 

ip nat inside source list MIS-REDES-NAT interface <interface> overload

 

Saludos 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hola @javierzuleta 

 

El comando ip nat inside source list 1 pool EJEMPLO overload asocia la ACL 1 al pool indicado en el comando.

Si quieres permitir mas redes, solo debes agregar mas entradas a la ACL 1, sin tener que reingresar la asociación previa.

 

En otras palabras:

al agregar mas access-list solo agrego eso o igual el nat?
ejemplo: access-list 1 permit 10.0.30.0 0.0.0.255

R: Correcto, basta con ingresar mas entradas a la ACL 1.

 

Recuerda aplicar el nateo en las interfaces, como te comentó @Julio E. Moisa 

 

Saludos

 

 

Hola

Si se puede y la verdad considero buena practica especificar las redes que seran parte del NAT tal como lo has hecho.

Por lo general se usa ACL standard, puedes usar ACL extendida tambien pero es mas utilizado para casos puntuales o contextos puntuales.

 

Tu configuracion debe funcionar, recuerda aplicar ip nat inside / ip nat outside en las interfaces correspondientes.

 

Saludos 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hilda Arteaga
Cisco Employee
Cisco Employee

Hola @luis_cordova y @Julio E. Moisa muchas gracias por buscar asistir a @javierzuleta con la duda 

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: