cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
10987
Visitas
5
ÚTIL
1
Respuestas

Diferencia entre ip nat inside/outside e ip nat enable

vidalgarzat
Level 1
Level 1

Estimado Foro,

Les mando cordiales saludos.

Tengo una inquietud, he estado probando con unas configuraciones de NAT Cuando hago un NAT con la siguiente configuracion noto que el ancho de banda que me da mi ISP no tiene limites (Es decir, me da todo el ancho de banda que compro)

iface1
   ip nat inside
iface2
   ipnat outside
ip nat inside source list lst-nat interface FastEthernet0/1 overload

Pero cuando intento esta otra configuracion noto que hay una limitante de ancho debanda de entre 10-20 Mbs (Cuando mi ancho de banda es mayor).

iface1
   ip nat enable
iface2 
   ip nat enable
ip nat source list lst-nat interface FastEthernet0/1 overload

----

ip access-list extended lst-nat
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip 192.168.0.0 0.0.255.255 any

De antemano les agradezco.

1 RESPUESTA 1

lespejel
Level 3
Level 3

Hola vidalgarzat  

Me gustaría abordar tu pregunta en dos partes:

Primero, cuando utilizas un a configuración de NAT, y estableces los dominios inside y outside, la regla de nat aplica cuando el paquete arriba en un dominio y sale en el otro, es la regla básica para que la traducción ocurra, y se mantiene una tabla de traducciones de acuerdo a la regla que utilices, en tu ejemplo,

ip nat inside source list lst-nat interface FastEthernet0/1 overload
  • un nat inside overload hará que el router busque tráfico que:
  • arriba en la inside
  • hace match con el access-list que define el tráfico interesante
  • la ruta al destino apunta hacia la interface outside

Si las reglas se cumplen, la traducción ocurre y está programada en hardware.

Ahora, tu segundo ejemplo utiliza NAT Virtual Interface, que es una solución pensada para un escenario diferente, como podría ser ejecutar traducciones entre VRF o en escenarios donde no defines un dominio, pero buscas ejecutar una traducción de tu tráfico interesante, por ejemplo, traducir el tráfico entre instancias de ruteo distintas.

Para este segundo ejemplo bastaría con definir tu interface WAN como ip nat enable y todo el tráfico que sale por ella sería traducido si hace match en el ACL que define tu tráfico interesante.

La diferencia entre ambos estriba en que el primer caso se ejecuta por hardware directamente, pero en el segundo caso, tu tráfico entra por una interface habilitada con NAT, debe revisar las reglas, al ver que no hace match, lo envía a la interface de salida, y revisa nuevamente la regla, se da cuenta que hace match con tu tráfico interesante, lo traduce y lo envía hacia afuera de la interface.

Entonces, esa diferencia en el ancho de banda que mencionas es la consecuencia del proceso extra al que estás forzando el router, y la recomendación es utilizar la primera configuración.

La segunda configuración es una opción desarrollada para un escenario con condiciones distintas y que aprovecha la creación de una interface virtual para resolver un problema específico de rutear tráfico entre diferentes instancias de ruteo, y entre sus limitaciones no soporta protocolos ALG (H.3232 por ejemplo), fragmentación de TCP ni el uso de route-maps.

Te dejo un par de documentos que pueden ser tu interés:

IP Addressing: NAT Configuration Guide, Cisco IOS Release 15M&T

"Network Address Translation (NAT)" Wiki Page

CCIE 52804