↑ Retornar para Desafios

Lab de NAT

Home Fórum Desafios Lab de NAT

Este tópico contém respostas, possui 11 vozes e foi atualizado pela última vez por  jefss1 7 anos, 10 meses atrás.

Visualizando 25 posts - 26 até 50 (de 54 do total)
  • Autor
    Posts
  • #83503

    mago
    Participante

    Senhores boa tarde,

    Estou estudando o tópico NAT.

    Porém eu fiz um lab hoje que me deixou um pouco intrigado.

    Este cenário que encontra-se em anexo, me está tirando os cabelos, pois ao tentar pingar o ip do meu ISP 192.0.2.114 não tenho sucesso no ping.

    Porém quando aplico o comando \”show ip nat translation\” o router me mostra as traduções ocorrendo para o meu pool de endereços configurados.

    Alguém poderia me explicar porque o ip global não pinga da minha rede interna ?

    Muito Obrigado a todos!

    0

    0
    #83504

    Jeferson Palma
    Participante

    cade o anexo ?

    0

    0
    #83505

    mago
    Participante

    Então tô tentando anexar, mas não está rolando.

    Será que o “show run” ajuda ?

    se sim, segue.

    hostname Router
    !
    !
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
    ip address 192.168.6.126 255.255.255.192
    ip nat inside
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    no ip address
    duplex auto
    speed auto
    shutdown
    !
    interface Serial0/0/0
    ip address 192.0.2.113 255.255.255.192
    ip nat outside
    clock rate 64000
    !
    interface Serial0/0/1
    no ip address
    shutdown
    !
    interface Vlan1
    no ip address
    shutdown
    !
    ip nat pool INT 198.18.32.65 198.18.32.70 netmask 255.255.255.248
    ip nat inside source list 1 pool INT overload
    ip classless
    !
    !
    access-list 1 permit 192.168.6.64 0.0.0.63
    !
    !
    !
    !
    !
    line con 0
    password cisco
    login
    line vty 0 4
    password cisco
    login
    !
    !
    !
    end

    0

    0
    #83507

    zekkerj
    Participante

    mago, confirme que o ISP tem rota de volta pro Inside Global Address  que você está usando no NAT.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #83508

    mago
    Participante

    @zekkerj,

    Valeu Brother, achei problema.

    Era camada 8…kkk

    Um abraço!

    0

    0
    #83509

    mago
    Participante

    @zekkerj,

    Me diz uma coisa, eu habilitei o EIGRP para a conexão do meu router com o ISP.

    Na teoria deveria funcionar, certo?

    tentei pingar do ISP o meu gateway da rede local sucesso, porém os meus pc´s não conseguem pingar o Global address ISP.

    Valeu abraço!

    0

    0
    #83510

    roboxtz
    Participante

    Aí galera,vou procurar no meu notebook se há aidna o arquivo para este cenaíro de NAT,a noite eu vou checar e se tiver já posto.

    0

    0
    #83511

    mago
    Participante

    Por favor roboxtz,

    Porque agora fiquei na dúvida, as traduções estão funcionando mas qualquer máquina da minha rede interna não chega no ip da Wan do ISP (192.0.2.114), porém o ISP chega na minha rede interna (192.168.6.65 a primeira máquina) e as traduções estão sendo feitas corretamente (eu acho…kk)

    Router#sh ip nat translations

    Pro Inside global Inside local Outside local Outside global
    icmp 198.18.32.65:5033 192.168.6.65:5033 192.0.2.114:5033 192.0.2.114:5033
    icmp 198.18.32.65:5034 192.168.6.65:5034 192.0.2.114:5034 192.0.2.114:5034
    icmp 198.18.32.65:5035 192.168.6.65:5035 192.0.2.114:5035 192.0.2.114:5035
    icmp 198.18.32.65:5036 192.168.6.65:5036 192.0.2.114:5036 192.0.2.114:5036
    icmp 198.18.32.65:5037 192.168.6.65:5037 192.0.2.114:5037 192.0.2.114:5037
    icmp 198.18.32.65:5038 192.168.6.65:5038 192.0.2.114:5038 192.0.2.114:5038
    icmp 198.18.32.65:5039 192.168.6.65:5039 192.0.2.114:5039 192.0.2.114:5039
    icmp 198.18.32.65:5040 192.168.6.65:5040 192.0.2.114:5040 192.0.2.114:5040
    icmp 198.18.32.65:5041 192.168.6.65:5041 192.0.2.114:5041 192.0.2.114:5041
    icmp 198.18.32.65:5042 192.168.6.65:5042 192.0.2.114:5042 192.0.2.114:5042
    icmp 198.18.32.65:4979 192.168.6.66:4979 192.0.2.114:4979 192.0.2.114:4979
    icmp 198.18.32.65:4980 192.168.6.66:4980 192.0.2.114:4980 192.0.2.114:4980
    icmp 198.18.32.65:4981 192.168.6.66:4981 192.0.2.114:4981 192.0.2.114:4981
    icmp 198.18.32.65:4982 192.168.6.66:4982 192.0.2.114:4982 192.0.2.114:4982
    icmp 198.18.32.65:4983 192.168.6.66:4983 192.0.2.114:4983 192.0.2.114:4983
    icmp 198.18.32.65:4984 192.168.6.66:4984 192.0.2.114:4984 192.0.2.114:4984
    icmp 198.18.32.65:4985 192.168.6.66:4985 192.0.2.114:4985 192.0.2.114:4985
    icmp 198.18.32.65:4986 192.168.6.66:4986 192.0.2.114:4986 192.0.2.114:4986
    icmp 198.18.32.65:4987 192.168.6.66:4987 192.0.2.114:4987 192.0.2.114:4987
    icmp 198.18.32.65:4988 192.168.6.66:4988 192.0.2.114:4988 192.0.2.114:4988
    icmp 198.18.32.65:4119 192.168.6.67:4119 192.0.2.114:4119 192.0.2.114:4119

    0

    0
    #83506

    mago
    Participante

    Ahhhhhhhh vou postar a “run config” dos dois roters…

    MEU ROUTER INTERNO

    hostname Router
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
    ip address 192.168.6.126 255.255.255.192
    ip nat inside
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    no ip address
    duplex auto
    speed auto
    shutdown
    !
    interface Serial0/0/0
    ip address 192.0.2.113 255.255.255.192
    ip nat outside
    clock rate 64000
    !
    interface Serial0/0/1
    no ip address
    shutdown
    !
    interface Vlan1
    no ip address
    shutdown
    !
    router ospf 1
    log-adjacency-changes
    network 192.0.2.64 0.0.0.63 area 0
    !
    ip nat pool INT 198.18.32.65 198.18.32.70 netmask 255.255.255.248
    ip nat inside source list 1 pool INT overload
    ip classless
    ip route 0.0.0.0 0.0.0.0 Serial0/0/0
    !
    !
    access-list 1 permit 192.168.6.64 0.0.0.63
    !
    !
    !
    line con 0
    password cisco
    login
    line vty 0 4
    password cisco
    login
    !
    !
    !
    end



    ROUTER ISP.

    hostname Router
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
    no ip address
    duplex auto
    speed auto
    shutdown
    !
    interface FastEthernet0/1
    no ip address
    duplex auto
    speed auto
    shutdown
    !
    interface Serial0/0/0
    ip address 192.0.2.114 255.255.255.192
    !
    interface Serial0/0/1
    no ip address
    shutdown
    !
    interface Vlan1
    no ip address
    shutdown
    !
    router ospf 1
    log-adjacency-changes
    network 192.168.6.64 0.0.0.63 area 0
    network 192.0.2.64 0.0.0.63 area 0
    !
    ip classless
    !
    !
    !
    !
    !
    !
    !
    line con 0
    line vty 0 4
    login
    !
    !
    !
    end

    0

    0
    #83512

    mago
    Participante

    Galera,

    Gostaria de salientar a quem for me ajudar, que o meu intuito não é a resposta e sim a explicação de quem vai me ajudar na resolução.

    Este Lab está pronto no 9TUT.com, mas não copiei nada fiz na mão sei que é pouco, mas consegui adquiri conhecimento com ele. Não me entendam mau, não quero resposta
    quero absorver conhecimento dos meus amigos aqui do blog.

    Abraço a todos e obrigado !

    0

    0
    #83513

    roboxtz
    Participante

    Me parece que está faltando uma rota no router ISP para que ele alcance a rede NAT.

    0

    0
    #83514

    mago
    Participante

    @roboxtz,

    Então, mas eu habilitei o OSPF nos dois routers…

    Justo a conexão serial da rede NAT para o ISP não aparece…

    0

    0
    #83515

    roboxtz
    Participante

    Mas não há anúncio no processo OSPF da rede NAT,o roteador ISP precisa conehcer ela,experimenta colocar uam rota esta´tica no ISP apontando para a rede NAT e vc vai ver.

    0

    0
    #83516

    zekkerj
    Participante

    @mago: "Me diz uma coisa, eu habilitei o EIGRP para a conexão do meu router com o ISP. Na teoria deveria funcionar, certo? "

    Na teoria, funciona; na prática, não se usa IGP com entidade externa. Ou seja, vc não deve rodar EIGRP, OSPF, RIP ou qualquer outro IGP, entre seus roteadores e o ISP. Se for pra rodar algum protocolo de roteamento, seria BGP. Mas pra pra exemplos simples, você usaria rotas estáticas mesmo.

     

     

    @mago: "tentei pingar do ISP o meu gateway da rede local sucesso, porém os meus pc´s não conseguem pingar o Global address ISP. Valeu abraço!"

    Isso é esperado.

     

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #83517

    mago
    Participante

    Ahhhh mas está pingando serial Nat s0/0/0 192.0.2.113 ISP s0/0/0 192.0.2.114

    0

    0
    #83518

    roboxtz
    Participante

    Coloque a rota estática no ISP apontando para a rede NAT.

    0

    0
    #83519

    zekkerj
    Participante

    @mago: "Ahhhh mas está pingando serial Nat s0/0/0 192.0.2.113 ISP s0/0/0 192.0.2.114"

    Sim. Mas se vc olhar a máquina que faz o NAT, vai ver que ela não tem nenhuma rota pros IGAs. Por isso vc não consegue pingar esse endereço.

    Se vc precisa que o endereço usado no NAT seja pingável internamente, pode atribuí-lo a uma interface loopback no roteador de borda. Mas nesse caso tem que observar com cuidado as ACLs de firewall.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #83520

    mago
    Participante

    roboxtz e zekkerj,

    Nem preciso desabilitar o OSPF, pois o roteamento estático tem privilégio maior certo?

    Vou colocar a rota estático e já posto o resultado.

    Eu Imaginei que o BGP seria o protocolo ideal, mas não sei trabalhar com ele ainda. Obrigado pela dica!

    @zekkerj,

    “Se vc precisa que o endereço usado no NAT seja pingável internamente, pode atribuí-lo a uma interface loopback no roteador de borda. Mas nesse caso tem que observar com cuidado as ACLs de firewall.”

    Pergunto?

    O IP que você se refere de NAT seria o meu ip global que leva os meus endereços privados para internet certo ou errado ?

    0

    0
    #83521

    zekkerj
    Participante

    Sim. O certo seria eu ter me referido a esse endereço como Inside Global Address, mas fica chato ficar repetindo o mesmo termo toda hora.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #83522

    mago
    Participante

    @zekkerj,

    Cara me ajudou bastante, vou criar as rotas estáticas e posto o resultado.

    Por hora muitas obrigado pela colaboração !

    0

    0
    #83523

    mago
    Participante

    Galera Sucesso!!!!!!!!!!!!!

    Valeu pela ajuda de vocês e pelas explicações. Até então eu achava que IGPs e EGPs eram conceitos e teorias, e que na prática era outra história.

    ficou assim a config.

    Router Nat:

    router ospf 1
    log-adjacency-changes
    redistribute static
    network 192.0.2.64 0.0.0.63 area 0
    network 192.168.6.64 0.0.0.63 area 0
    !
    ip nat pool INT 198.18.32.65 198.18.32.70 netmask 255.255.255.248
    ip nat inside source list 1 pool INT overload
    ip classless
    ip route 0.0.0.0 0.0.0.0 Serial0/0/0
    !
    !
    access-list 1 permit 192.168.6.64 0.0.0.63



    Router ISP:

    interface Serial0/0/0
    ip address 192.0.2.114 255.255.255.192
    !
    interface Serial0/0/1
    no ip address
    shutdown
    !
    interface Vlan1
    no ip address
    shutdown
    !
    ip classless
    ip route 0.0.0.0 0.0.0.0 Serial0/0/0
    !
    !
    !
    !
    !
    !
    !
    line con 0
    line vty 0 4
    login
    !
    !
    !
    end

    Nem precisei perder tempo em matar o processo OSPF, mesmo porque ele não está sendo usado.

    Agora só uma última pergunta, eu coloquei uma rota default nos dois router e funcionou, me corrijam por favor pois acho que fiz besteira.

    Eu criei a seguinte rota estática:

    ip route 192.168.6.64 255.255.255.192 apontando pra minha serial0/0/0 que seria a serial NAT e no ISP criei a rota ao contrário:
    (Não funcionou)

    ip route 192.0.2.64 255.255.255.192 s0/0/0. O ip da serial do ISP está no mesmo range da minha rede 64 que vai de 65 – 126. estou correto ou existe alguma ou várias
    (Não funcionou)

    considerações a serem feitas?

    0

    0
    #83524

    roboxtz
    Participante

    No ISP a rota estática seria para a rede 198.18.32.64,pois essa é arede NAT,ficando assim:

    ip route 192.18.32.64 255.255.255.248 “int de saída para o cliente”

    0

    0
    #83525

    mago
    Participante

    Entendi…

    Brother valeu pela força e agora posso dizer que o NAT esta superado.

    Vou dar uma ralada em roteamento dinâmico e estático, mais um lab de sucesso com a ajuda de vcs do blog.

    Obrigado e um forte abraço a todos!

    0

    0
    #83526

    mago
    Participante

    roboxtz e zekkerj,

    Sei que não tem nada haver com o tópico dessa discussão, mas vcs sabem me informar em qual discussão entrar para falar sobre “roteamento estático” ?

    Já procurei vários tópicos, mas só acho do ano de 2010 nem sei se a galera está presente ou se vou obter respostas nas perguntas.

    Podem me ajudar?

    0

    0
    #83527

    zekkerj
    Participante

    Se vc não encontra tópico, pq não abre um? Se a galera achar alguma coisa pode indicar o link de uma discussão antiga.

     

    Deixa eu te dar outra dica, quando for fazer um lab de NAT, tenta pegar os endereços do NAT dentro da faixa 209.165.200.0/24 a 209.165.202.0/24. Esses endereços são os usados nos labs da academia, seriam reservados pela Cisco pra isso mesmo. Sendo ou não sendo, fica mais fácil de vc visualizar o que é endereço "interno" e o que é externo, pq os internos serão todos endereços de rede privada, e os externos serão todos endereços públicos.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

Visualizando 25 posts - 26 até 50 (de 54 do total)

Você deve fazer login para responder a este tópico.