NAT su Cisco 6509

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
giaconet
Cisco fan
Messaggi: 29
Iscritto il: lun 27 dic , 2010 12:40 pm
Località: Napoli

Ciao a tutti.
Devo fare un'operazione apparentemente semplicissima, ma incontro qualche problema.

Allora ho una rete dell'azienda A più o meno complessa che deve collegarsi con una rete dell'azienda B...e fin qui direi che siamo nel semplice.

L'azienda A ha diverse VLAN, ma diciamo che la VLAN che deve interagire con l'azienda B è la VLAN 1, che ha indirizzamento 10.10.0.0/16.
L'azienda B non ha VLAN, ha un indirizzamento 192.168.0.0/16 ma purtroppo ha una VPN site-to-site con una 3° azienda che ha indirizzamento 10.10.0.0/16. Per questo motivo non ho potuto configurare una banalissimo route tra le 2 aziende: infatti i client 192.168.0.0/16 dell'azienda B hanno già una route per la subnet 10.10.0.0/16 e non riuscirebbero mai a tornare ai miei client dell'azienda A.
Poco male, ho pensato allora di far un bel NAT e aggirare il problema.
Mi sono fatto dare un indirizzo libero sulla sottorete 192.168.0.0/16 (la scelta è caduta su 192.168.13.150) e considerato inoltre che la connessione fisica alla rete dell'azienda B arriva sulla porta Gi2/43 del mio Cisco 6500 ho dato i seguenti semplici comandi:

int Gi2/43
no switchport
ip address 192.168.13.150 255.255.0.0
ip nat outside

int vlan 1
ip nat inside

ip nat inside source list 100 interface Gi2/43 overload

access-list 100 permit ip 10.10.0.0 0.0.255.255 any
access-list 100 permit ip 192.168.0.0 0.0.0.255.255 any

Bene, dopo tutto questo, funziona solo il ping, ma nessun altro servizio (ne tcp ne udp).
Ad esempio, sulla rete 192.168.0.0/16 c'è un server web che pubblica un gestionale sulla porta 8080: se dalla mia rete faccio ping 192.168.6.201 va tutto ok (e vedo la relativa translation sul 6509 se digito sh ip nat translations); se invece nel browser scrivo http://192.168.6.201:8080, la richiesta non passa e non vedo la relativa translation sul 6509. Mi sembra un chiaro problema di ACL, ma non capisco cosa dovrei permettere più di "any".

Grazie per gli eventuali consigli

giaconet
Top
giaconet
Cisco fan
Messaggi: 29
Iscritto il: lun 27 dic , 2010 12:40 pm
Località: Napoli

Ok, ho risolto da solo.
Vanno esplicitati anche tutti i permit tcp e udp che servono.

Nel caso in particolare dovevo aggiungere
access-list 100 permit tcp any host 192.168.6.201 eq 8080

Magari serve a qualcuno...

Bye

giaconet
Top
Rispondi

Torna a “Configurazioni”