05-23-2016 03:55 PM - editado 03-21-2019 06:21 PM
Estimado Foro,
Les mando cordiales saludos.
Tengo una inquietud, he estado probando con unas configuraciones de NAT Cuando hago un NAT con la siguiente configuracion noto que el ancho de banda que me da mi ISP no tiene limites (Es decir, me da todo el ancho de banda que compro)
iface1
ip nat inside
iface2
ipnat outside
ip nat inside source list lst-nat interface FastEthernet0/1 overload
Pero cuando intento esta otra configuracion noto que hay una limitante de ancho debanda de entre 10-20 Mbs (Cuando mi ancho de banda es mayor).
iface1
ip nat enable
iface2
ip nat enable
ip nat source list lst-nat interface FastEthernet0/1 overload
----
ip access-list extended lst-nat
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip 192.168.0.0 0.0.255.255 any
De antemano les agradezco.
el 09-13-2016 12:46 PM
Hola vidalgarzat
Me gustaría abordar tu pregunta en dos partes:
Primero, cuando utilizas un a configuración de NAT, y estableces los dominios inside y outside, la regla de nat aplica cuando el paquete arriba en un dominio y sale en el otro, es la regla básica para que la traducción ocurra, y se mantiene una tabla de traducciones de acuerdo a la regla que utilices, en tu ejemplo,
ip nat inside source list lst-nat interface FastEthernet0/1 overload
Si las reglas se cumplen, la traducción ocurre y está programada en hardware.
Ahora, tu segundo ejemplo utiliza NAT Virtual Interface, que es una solución pensada para un escenario diferente, como podría ser ejecutar traducciones entre VRF o en escenarios donde no defines un dominio, pero buscas ejecutar una traducción de tu tráfico interesante, por ejemplo, traducir el tráfico entre instancias de ruteo distintas.
Para este segundo ejemplo bastaría con definir tu interface WAN como ip nat enable y todo el tráfico que sale por ella sería traducido si hace match en el ACL que define tu tráfico interesante.
La diferencia entre ambos estriba en que el primer caso se ejecuta por hardware directamente, pero en el segundo caso, tu tráfico entra por una interface habilitada con NAT, debe revisar las reglas, al ver que no hace match, lo envía a la interface de salida, y revisa nuevamente la regla, se da cuenta que hace match con tu tráfico interesante, lo traduce y lo envía hacia afuera de la interface.
Entonces, esa diferencia en el ancho de banda que mencionas es la consecuencia del proceso extra al que estás forzando el router, y la recomendación es utilizar la primera configuración.
La segunda configuración es una opción desarrollada para un escenario con condiciones distintas y que aprovecha la creación de una interface virtual para resolver un problema específico de rutear tráfico entre diferentes instancias de ruteo, y entre sus limitaciones no soporta protocolos ALG (H.3232 por ejemplo), fragmentación de TCP ni el uso de route-maps.
Te dejo un par de documentos que pueden ser tu interés:
IP Addressing: NAT Configuration Guide, Cisco IOS Release 15M&T
"Network Address Translation (NAT)" Wiki Page
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad