cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
Cisco Employee

NAT en IOS y IOS-XE​​. Pregunte al Experto

Conozca y aclare sus dudas acerca de: NAT en IOS y IOS-XE​​ con el experto Adrian Aguilar.ate

Haga sus preguntas del lunes 19 al viernes, 30 del octubre, 2015.

NAT nos permite traducir IPs Privadas a Públicas para comunicarnos en Internet o, en algunos casos, “esconder” IPs detrás de otras para cuando tenemos “overlapping networks” o simplemente por motivos de seguridad. Conserva el rango Público de direccionamiento IPv4 al requerir menos IPs Públicas por empresa. Podemos crear equivalencias de una a una o traducir muchas hacia una sola IP. Existen similitudes y diferencias entre la implementación de NAT en IOS y IOS-XE, las cuales podremos discutir.

 

adaguila

Adrián Aguilar pertenece al grupo de LATAM-CORE-HTTS desde hace 5 meses donde maneja temas de Routing, Switching, Architecture y IOS-XR para clientes (en su mayoría Proveedores de Servicios y Cableras) en el área de Latinoamérica. Anteriormente trabajó para GDP en las áreas de Switching y Routing Protocols por casi 10 años. Obtuvo su CCIE en R&S y se prepara actualmente para el CCIE SP.

**iLas clasificaciones incentivan la participación! **
Por favor,valide las respuestas

 

Etiquetas (4)
6 RESPUESTAS
New Member

Por favor me gustaría me

Por favor me gustaría me asesoren en lo siguiente:

Tengo un router 891 actualmente funcionando con dos proveedores, la interface GE0 es la principal y la FE0 la secundaria.  en la principal tengo un internet simetrico de 3 MB con ip fijo y en la secundaria un internet de 10  asimetrico con ip dinamico

Pedí cambiar el internet asimétrico de 10 mb por uno de fibra optica con IP fija. 

Lo que quiero es que el nuevo internet de fibra entre por la interface de GE0 (la principal) y la secundaria quede con el de 3mb simetrico.

 

Que cambio debo realizar aparte de cambiarle los ip a las interfaces.

Cisco Employee

Buenas tardes, Si entiendo

Buenas tardes,

 

Si entiendo correctamente, vas a mover el nuevo enlace de 10MB Fibra Óptica con IP Fija a GE0 y el de 3MB a FE0.

 

Para hacer este cambio con la menor cantidad de "down time" tendríamos que revisar como sucede el Enrutamiento hacia Internet para básicamente evitar que tráfico salga por el enlace secundario durante el cambio.

 

Podrías agregar la configuración de tu Router para verificar este tema?

 

Saludos,

Adrián

New Member

Gracias por responder, copio

Gracias por responder, copio parte de la configuración, omiti unaparte por cuestiones de seguridad.

 

track 10 ip sla 10
 delay down 60 up 60
!

!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 5
 lifetime 180
!
crypto isakmp policy 20
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key cisco address 190.202.80.148 
crypto isakmp keepalive 10 4
!
crypto isakmp client configuration group vpnkgroup
 key vpnkeygroup
 pool keygroupvpn
 acl 122
!
crypto isakmp client configuration group conssa
 key keygroupvpn
 pool conssaVPN
 acl 121
crypto isakmp profile EZClient0
   match identity group conssa
   client authentication list userauthen
   isakmp authorization list EZAUTHR
   client configuration address respond
   virtual-template 1
crypto isakmp profile EZClient1
   match identity group vpnkgroup
   client authentication list userauthen
   isakmp authorization list EZAUTHR
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
 mode transport
crypto ipsec transform-set TSET esp-3des esp-md5-hmac 
 mode tunnel
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA 
 set pfs group5
!
crypto ipsec profile EZPROFILE
 set transform-set TSET 
!
!
!
!
!
!
!
interface Tunnel0
 bandwidth 1000
 ip address 10.3.3.210 255.255.255.0
 ip mask-reply
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map 10.3.3.1 190.202.80.148
 ip nhrp map multicast 190.202.80.148
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip nhrp nhs 10.3.3.1
 ip nhrp registration no-unique
 ip nhrp registration timeout 30
 ip tcp adjust-mss 1360
 delay 1000
 tunnel source GigabitEthernet0
 tunnel destination 190.202.80.148
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 switchport access vlan 2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 no ip address
!
interface FastEthernet5
 no ip address
!
interface FastEthernet6
 no ip address
!
interface FastEthernet7
 no ip address
!
interface FastEthernet8
 ip ddns update hostname keygroupcableonda.no-ip.org
 ip ddns update noip1
 ip address dhcp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no cdp enable
!
interface Virtual-Template1 type tunnel
 ip unnumbered Vlan1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile EZPROFILE
!
interface GigabitEthernet0
 description $ETH-WAN$
 ip address 186.74.196.123 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-FE 1$
 ip address 192.168.210.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Async1
 no ip address
 encapsulation slip
!
!
router eigrp 2
 network 10.3.3.0 0.0.0.255
 network 192.168.210.0
!
ip local pool conssaVPN 192.168.210.220 192.168.210.225
ip local pool keygroupvpn 192.168.210.140 192.168.210.149
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source static udp 192.168.210.3 443 interface FastEthernet8 443
ip nat inside source static tcp 192.168.210.3 443 interface FastEthernet8 443
ip nat inside source route-map isp1 interface GigabitEthernet0 overload
ip nat inside source route-map isp2 interface FastEthernet8 overload
ip route 0.0.0.0 0.0.0.0 186.74.196.121 track 10
ip route 192.168.1.0 255.255.255.0 10.3.3.1
ip route 192.168.1.0 255.255.255.0 192.168.210.254 200
ip route 192.168.100.0 255.255.255.0 10.3.3.1
ip route 192.168.200.0 255.255.255.0 192.168.210.254
ip route 192.168.201.0 255.255.255.0 10.3.3.1
ip route 192.168.208.0 255.255.255.0 10.3.3.1
ip route 192.168.209.0 255.255.255.0 192.168.210.254
ip route 0.0.0.0 0.0.0.0 dhcp 200
!
ip sla auto discovery
ip sla 10
 icmp-echo 190.33.202.194 source-interface GigabitEthernet0
 threshold 1500
 timeout 1500
 frequency 5
ip sla schedule 10 life forever start-time now
no cdp run
!
route-map isp2 permit 10
 match ip address 100
 match interface FastEthernet8
!
route-map isp1 permit 10
 match ip address 100
 match interface GigabitEthernet0
!
snmp-server community public RO
!
access-list 1 permit any
access-list 100 permit ip any any
access-list 100 permit tcp any any
access-list 100 permit udp any any
access-list 100 permit icmp any any
access-list 121 remark ==[Cisco Conssa VPN Users]==
access-list 121 permit ip 192.168.210.0 0.0.0.255 object-group conssaremoto
access-list 121 remark ==[CiscoVPN Users]==
access-list 122 permit ip 192.168.210.0 0.0.0.255 object-group keygroupremoto
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
line con 0
 login authentication consola
line 1
 modem InOut
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 privilege level 15
 login authentication userauthen
 transport input telnet ssh
line vty 5 15
 privilege level 15
 transport input telnet ssh
!
event manager environment _interface_to_shut
event manager applet shut_some_interface
 event track 10 state up
 action 1 syslog priority informational msg "Modo Contingencia DesActivado"
 action 2 mail server "smtp.conssa.net.ve" to "monitor@sodicaonline.com" from "monitor@sodicaonline.com" subject "RT_Keygroup Contingencia" body "Modo de Contingencia Desactivado (Failover de Internet) en RT_Keygroup"
event manager applet no_shut_some_interface
 event track 10 state down
 action 1 syslog priority informational msg "Modo Contingencia Activado"
 action 2 mail server "smtp.conssa.net.ve" to "monitor@sodicaonline.com" from "monitor@sodicaonline.com" subject "RT_Keygroup Contingencia" body "Modo de Contingencia activado (Failover de Internet) en RT_Keygroup"
!
end

 

Cisco Employee

Gracias! Los siguientes pasos

Gracias!

 

Los siguientes pasos serían los correctos en caso de que el nuevo enlace de 10MB de Fibra con IP Fija esté disponible al mismo tiempo que el Asimétrico de 10MB sigue funcionando. Si no es así, pues habría "down time" al hacer el cambio de interfaces.

 

Primero yo me encargaría de hacer fail-over al enlace secundario para que puedas configurar GE0 con la IP fija del nuevo servicio de 10MB. Para hacerlo, basta con traer abajo el IP SLA con el siguiente comando:

 

no ip sla schedule 10 life forever start-time now

 

Al hacer esto, todo el tráfico empezará a fluir por medio de Fa8.

 

Luego, configuraríamos Gi0 con la nueva IP fija:

 

int gi0

no  ip address 186.74.196.123 255.255.255.248

 ip address z.z.z.z 255.255.255.x (substituir z.z.z.z por IP fija del nuevo enlace con su máscara apropiada)

 

Luego, yo modificaría la configuración del IP SLA para que se utilice una IP del nuevo enlace de IP Fija ya que me imagino que 190.33.202.194 es una IP que pertenece al proveedor del enlace de 3MB. Favor de indicarmelo si no fuera así.

 

no ip sla 10

 

ip sla 10
 icmp-echo x.x.x.x source-interface GigabitEthernet0  (substituir x.x.x.x por IP del nuevo enlace)
 threshold 1500
 timeout 1500
 frequency 5

 

modificar la Ruta por Defecto para que utilice la IP del siguiente salto correcta:

 

no ip route 0.0.0.0 0.0.0.0 186.74.196.121 track 10

ip route 0.0.0.0 0.0.0.0 y.y.y.y track 10 (substituir y.y.y.y por siguiente salto del nuevo enlace)

 

Luego, encenderíamos de nuevo el IP SLA con el siguiente comando:

 

ip sla schedule 10 life forever start-time now

 

Una vez que levante la ruta por defecto del enlace principal, puedes confirmar con "show ip route track", el tráfico a Internet estará fluyendo de nuevo por Gi0.

 

Por último deberíamos de configurar Fa8 con la IP que estaba en Gi0 y modificar la Ruta por Defecto de respaldo:

 

int Fa8

no ip address

ip address 186.74.196.123 255.255.255.248

 

no ip route 0.0.0.0 0.0.0.0 dhcp 200

ip route 0.0.0.0 0.0.0.0 186.74.196.121 200

 

 

Del lado de NAT, no hay nada que modificar.

 

Avísame si queda alguna duda.

 

-Adrián

New Member

Hola Adrian, gracias

Hola Adrian, gracias nuevamente.

Mira ese ip es uno de los DNS del proveedor de internet, exactamente el de los 3mb simétrico. Los tres primeros DNS son los del proveedor por donde actualmente está saliendo mi trafico, el cuarto es del proveedor que está como secundario.

te copio esa parte que la había omitido


!
ip domain name keygroupcableonda.no-ip.org
ip name-server 201.225.225.225
ip name-server 190.33.202.194
ip name-server 201.224.73.162
ip name-server 200.75.200.2
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip ddns update method noip1
 HTTP
  add http://conssa2k9@gmail.com:Conssa2009@dynupdate.no-ip.com/nic/update?hostname=keygroupcableonda.no-ip.org
  remove http://conssa2k9@gmail.com:Conssa2009@dynupdate.no-ip.com/nic/update?hostname=keygroupcableonda.no-ip.org
 interval maximum 0 0 1 0
 interval minimum 0 0 0 30
!
ip cef
no ipv6 cef
!

 

 

¿Debo quitar el DNS del proveedor de los 10 MB asimétrico que es este 200.75.200.2 y colocar el nuevo DNS del proveedor nuevo.?

 

Cisco Employee

Buenas tardes, Si, es

Buenas tardes,

 

Si, es correcto, es necesario quitar el cuarto DNS ya que ese proveedor no se va a utilizar mas. Y remplazarlo por el del nuevo proveedor.

 

Saludos,

Adrián

200
Visitas
5
ÚTIL
6
Respuestas
CrearPor favor para crear contenido