NAT su Cisco 6509
Inviato: lun 27 dic , 2010 1:38 pm
Ciao a tutti.
Devo fare un'operazione apparentemente semplicissima, ma incontro qualche problema.
Allora ho una rete dell'azienda A più o meno complessa che deve collegarsi con una rete dell'azienda B...e fin qui direi che siamo nel semplice.
L'azienda A ha diverse VLAN, ma diciamo che la VLAN che deve interagire con l'azienda B è la VLAN 1, che ha indirizzamento 10.10.0.0/16.
L'azienda B non ha VLAN, ha un indirizzamento 192.168.0.0/16 ma purtroppo ha una VPN site-to-site con una 3° azienda che ha indirizzamento 10.10.0.0/16. Per questo motivo non ho potuto configurare una banalissimo route tra le 2 aziende: infatti i client 192.168.0.0/16 dell'azienda B hanno già una route per la subnet 10.10.0.0/16 e non riuscirebbero mai a tornare ai miei client dell'azienda A.
Poco male, ho pensato allora di far un bel NAT e aggirare il problema.
Mi sono fatto dare un indirizzo libero sulla sottorete 192.168.0.0/16 (la scelta è caduta su 192.168.13.150) e considerato inoltre che la connessione fisica alla rete dell'azienda B arriva sulla porta Gi2/43 del mio Cisco 6500 ho dato i seguenti semplici comandi:
int Gi2/43
no switchport
ip address 192.168.13.150 255.255.0.0
ip nat outside
int vlan 1
ip nat inside
ip nat inside source list 100 interface Gi2/43 overload
access-list 100 permit ip 10.10.0.0 0.0.255.255 any
access-list 100 permit ip 192.168.0.0 0.0.0.255.255 any
Bene, dopo tutto questo, funziona solo il ping, ma nessun altro servizio (ne tcp ne udp).
Ad esempio, sulla rete 192.168.0.0/16 c'è un server web che pubblica un gestionale sulla porta 8080: se dalla mia rete faccio ping 192.168.6.201 va tutto ok (e vedo la relativa translation sul 6509 se digito sh ip nat translations); se invece nel browser scrivo http://192.168.6.201:8080, la richiesta non passa e non vedo la relativa translation sul 6509. Mi sembra un chiaro problema di ACL, ma non capisco cosa dovrei permettere più di "any".
Grazie per gli eventuali consigli
giaconet
Devo fare un'operazione apparentemente semplicissima, ma incontro qualche problema.
Allora ho una rete dell'azienda A più o meno complessa che deve collegarsi con una rete dell'azienda B...e fin qui direi che siamo nel semplice.
L'azienda A ha diverse VLAN, ma diciamo che la VLAN che deve interagire con l'azienda B è la VLAN 1, che ha indirizzamento 10.10.0.0/16.
L'azienda B non ha VLAN, ha un indirizzamento 192.168.0.0/16 ma purtroppo ha una VPN site-to-site con una 3° azienda che ha indirizzamento 10.10.0.0/16. Per questo motivo non ho potuto configurare una banalissimo route tra le 2 aziende: infatti i client 192.168.0.0/16 dell'azienda B hanno già una route per la subnet 10.10.0.0/16 e non riuscirebbero mai a tornare ai miei client dell'azienda A.
Poco male, ho pensato allora di far un bel NAT e aggirare il problema.
Mi sono fatto dare un indirizzo libero sulla sottorete 192.168.0.0/16 (la scelta è caduta su 192.168.13.150) e considerato inoltre che la connessione fisica alla rete dell'azienda B arriva sulla porta Gi2/43 del mio Cisco 6500 ho dato i seguenti semplici comandi:
int Gi2/43
no switchport
ip address 192.168.13.150 255.255.0.0
ip nat outside
int vlan 1
ip nat inside
ip nat inside source list 100 interface Gi2/43 overload
access-list 100 permit ip 10.10.0.0 0.0.255.255 any
access-list 100 permit ip 192.168.0.0 0.0.0.255.255 any
Bene, dopo tutto questo, funziona solo il ping, ma nessun altro servizio (ne tcp ne udp).
Ad esempio, sulla rete 192.168.0.0/16 c'è un server web che pubblica un gestionale sulla porta 8080: se dalla mia rete faccio ping 192.168.6.201 va tutto ok (e vedo la relativa translation sul 6509 se digito sh ip nat translations); se invece nel browser scrivo http://192.168.6.201:8080, la richiesta non passa e non vedo la relativa translation sul 6509. Mi sembra un chiaro problema di ACL, ma non capisco cosa dovrei permettere più di "any".
Grazie per gli eventuali consigli
giaconet