×

Mensaje de advertencia

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

Consulta - Dynamic NAT en Cisco ASA Version 9.4(1)5

Pregunta respondida
Jul 11th, 2017
User Badges:

Estimados, buen día

Tengo un duda y quisiera saber si alguno me pueden ayudar.

Existe algún riesgo si en un Cisco ASA con dos enlaces a Internet configuro para una misma subred un dynamic NAT (desde inside hacia outsideA y outsideB) de una subred X hacia una IP de un enlace A y otro con la misma subred X hacia una IP de un enlace B?

El esquema de ruteo en el ASA es que el enlace del proveedor A es el principal con menor distancia administrativa y con sla, y ante la caída switchea al enlace B.

Me genera duda si es que es posible configurar estos dos dynamic nat  y "como es el orden de lectura" de este proceso.


Digamos algo así:

object network NAT_REDx_EnlaceA
subnet 1.1.1.0 255.255.255.0
object network NAT_REDx
nat (inside,outsideA) dynamic 10.10.10.10

object network NAT_REDx_EnlaceB
subnet 1.1.1.0 255.255.255.0
object network NAT_REDx_EnlaceB
nat (inside,outsideB) dynamic 20.20.20.20



Muchas gracias.


Gustavo,



Correct Answer by Julio Moisa about hace 1 mes 1 semana

Buenos días Gustavo,

Hace mucho tiempo tuve un caso similar donde tenia que configurar un ASA 5510 para funcionar con 2 proveedores de servicio, siendo uno el de backup, recuerdo que en versiones anteriores de IOS se podia agregar un numero de sequencia en los NATs. Pero ya viendo tu caso, ambos hacen NAT pero el que rompe el empate es el el ruteo, en este caso se prefiere la ruta estatica con menor distancia administrativa.

Recuerdo que en esa ocasion cree un IP SLA (track) y un script en el firewall que cuando me generaba un mensaje el track de que habia perdido conexion, este ejecutaba el script para eliminar la ruta por defecto primaria, de esta manera todo el trafico se movia hacia el proveedor secundario, hacia basicamente un failover automatico. 

La menor distancia administrativa de la ruta por defecto tendra prioridad. 

A continuación te comparto un enlace sobre EEM en ASA: http://www.cisco.com/c/en/us/td/docs/security/asa/asa92/configuration/ge...


Saludos 

Correct Answer by Julio Moisa about hace 1 mes 1 semana

Hola Gustavo,

No hay ningun riesgo, si el nombre del object-group es diferente no tendras ningun inconveniente. Al final tendras 2 NAT diferentes. 

Siempre recomiendo realizar los cambios durante ventanas de mantenimiento programadas y obtener un respaldo de la configuracion antes de proceder. 

Saludos 

Loading.
Correct Answer
Julio Moisa Mar, 07/11/2017 - 13:14
User Badges:
  • Red, 2250 points or more
  • Community Spotlight Award,

    Spanish Member's Choice, June 2017

Hola Gustavo,

No hay ningun riesgo, si el nombre del object-group es diferente no tendras ningun inconveniente. Al final tendras 2 NAT diferentes. 

Siempre recomiendo realizar los cambios durante ventanas de mantenimiento programadas y obtener un respaldo de la configuracion antes de proceder. 

Saludos 

Attachment: 
ggmeza1983 Mar, 07/11/2017 - 18:22
User Badges:

Julio, buenas noches


Muchas gracias por tu pronta respuesta, te consulto lo siguiente. Cual es entonces el orden de lectura de los nat si lo configuro así? o lo maneja el ruteo que nateo utilizar y hacia que interfaz?


Muchisimas gracias por tu tiempo.


Slds.


Gustavo.

Correct Answer
Julio Moisa Mié, 07/12/2017 - 09:03
User Badges:
  • Red, 2250 points or more
  • Community Spotlight Award,

    Spanish Member's Choice, June 2017

Buenos días Gustavo,

Hace mucho tiempo tuve un caso similar donde tenia que configurar un ASA 5510 para funcionar con 2 proveedores de servicio, siendo uno el de backup, recuerdo que en versiones anteriores de IOS se podia agregar un numero de sequencia en los NATs. Pero ya viendo tu caso, ambos hacen NAT pero el que rompe el empate es el el ruteo, en este caso se prefiere la ruta estatica con menor distancia administrativa.

Recuerdo que en esa ocasion cree un IP SLA (track) y un script en el firewall que cuando me generaba un mensaje el track de que habia perdido conexion, este ejecutaba el script para eliminar la ruta por defecto primaria, de esta manera todo el trafico se movia hacia el proveedor secundario, hacia basicamente un failover automatico. 

La menor distancia administrativa de la ruta por defecto tendra prioridad. 

A continuación te comparto un enlace sobre EEM en ASA: http://www.cisco.com/c/en/us/td/docs/security/asa/asa92/configuration/ge...


Saludos 

Acciones

Este Discusión