Este documento fornece uma configuração de exemplo com o comando ip nat outside source list e inclui uma breve descrição do que acontece ao pacote IP durante o processo NAT. É possível usar este comando para traduzir o endereço de origem dos pacotes IP que viajam fora da rede para dentro da rede. Esta ação converte o endereço de destino dos pacotes IP que trafegam na direção oposta, de dentro para fora da rede. Este comando é útil em situações tais como redes sobrepostas, onde os endereços dentro da rede sobrepõe os endereços fora dela. Vamos considerar o diagrama da rede como um exemplo.
Não existem requisitos específicos para este documento.
Este documento não se restringe a versões de software e hardware específicas. No entanto, as informações neste documento são baseadas nestas versões de software e hardware:
Cisco 2500 Series Routers
Cisco IOS® versão de software 12.2(24a) em execução em todos os roteadores
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta Command Lookup Tool (somente clientes registrados).
Este documento utiliza a seguinte configuração de rede:
Quando o ping é originado da interface Loopback0 do roteador 2514W (172.16.88.1) para a interface Loopback0 do roteador 2501E (171.68.1.1), ocorre o seguinte:
O roteador 2514W encaminha os pacotes para o roteador 2514x porque está configurado com uma rota padrão. Na interface externa do roteador 2514X, o pacote tem um endereço de origem (SA) de 172.16.88.1 e um endereço de destino (DA) de 171.68.1.1. Como a SA é permitida na lista de acesso 1, que é usada pelo comando ip nat outside source list, ela é convertida em um endereço do pool NAT Net171. Observe que o comando ip nat outside source list faz referência ao pool NAT "Net171". Nesse caso, o endereço é convertido em 171.68.16.10, que é o primeiro endereço disponível no pool NAT. Após a conversão, o 2514X Router procura pelo destino na tabela de roteamento e encaminha o pacote. O Roteador 2501E vê o pacote em sua interface de entrada com SA de 171.68.16.10 e DA de 171.68.1.1. Ele responde enviando uma resposta de eco do Protocolo de mensagens de controle da Internet (ICMP) para 171.68.16.10. Se ele não tiver uma rota, descartará o pacote. Nesse caso, ele tem uma rota (padrão) e envia um pacote ao Roteador 2514X, usando um AS de 171.68.1.1 e um DA de 171.68.16.10. O roteador 2514X vê o pacote na interface interna e verifica se há uma rota para o endereço 171.68.16.10. Caso não haja um, ele responde com uma resposta de ICMP inalcançável. Nesse caso, ele tem uma rota para 171.68.16.10, devido à opção add-route do comando ip nat outside source, que adiciona uma rota de host de acordo com a conversão entre o endereço externo global e o endereço local externo, portanto, ele converte o pacote de volta para o endereço 172.16.88.1 e roteia o pacote para fora da interface externa.
Roteador 2514W |
---|
hostname 2514W ! !--- Output suppressed. interface Loopback0 ip address 172.16.88.1 255.255.255.0 ! !--- Output suppressed. interface Serial0 ip address 172.16.191.254 255.255.255.252 no ip mroute-cache ! !--- Output suppressed. ip classless ip route 0.0.0.0 0.0.0.0 172.16.191.253 !--- Default route to forward packets to 2514X. ! !--- Output suppressed. |
Roteador 2514x |
---|
hostname 2514X ! !--- Output suppressed. ! interface Ethernet1 ip address 171.68.192.202 255.255.255.0 ip nat inside no ip mroute-cache no ip route-cache ! !--- Output suppressed. interface Serial1 ip address 172.16.191.253 255.255.255.252 ip nat outside no ip mroute-cache no ip route-cache clockrate 2000000 ! ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 !--- NAT pool defining Outside Local addresses to be used for translation. ! ip nat outside source list 1 pool Net171 add-route !--- Configures translation for Outside Global addresses !--- with the NAT pool. ip classless ip route 172.16.88.0 255.255.255.0 172.16.191.254 ip route 171.68.1.0 255.255.255.0 171.68.192.201 !--- Static routes for reaching the loopback interfaces !--- on 2514W and 2501E. access-list 1 permit 172.16.88.0 0.0.0.255 !--- Access-list defining Outside Global addresses to be translated. ! !--- Output suppressed. ! |
Roteador 2501e |
---|
hostname 2501E ! !--- Output suppressed. interface Loopback0 ip address 171.68.1.1 255.255.255.0 ! interface Ethernet0 ip address 171.68.192.201 255.255.255.0 ! !--- Output suppressed. ip classless ip route 0.0.0.0 0.0.0.0 171.68.192.202 !--- Default route to forward packets to 2514X. ! !--- Output suppressed. |
Esta seção fornece informações para confirmar se a sua configuração funciona corretamente.
A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.
O comando show ip nat translations pode ser usado para verificar as entradas de conversão, conforme mostrado na saída abaixo.
2514X# show ip nat translations Pro Inside global Inside local Outside local Outside global --- 171.68.1.1 171.68.1.1 171.68.16.10 172.16.88.1 --- --- --- 171.68.16.10 172.16.88.1 2514X#
A saída acima mostra que o endereço global externo 172.16.88.1, que é o endereço na interface Loopback0 do roteador 2514W, é convertido para o endereço local externo 171.68.16.10.
Você pode usar o comando show ip route para verificar as entradas da tabela de roteamento, conforme mostrado:
2514X# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks C 171.68.192.0/24 is directly connected, Ethernet1 S 171.68.1.0/24 [1/0] via 171.68.192.201 S 171.68.16.10/32 [1/0] via 172.16.88.1 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks S 172.16.88.0/24 [1/0] via 172.16.191.254 C 172.16.191.252/30 is directly connected, Serial1 2514X#
A saída mostra uma rota /32 para o endereço local externo 171.68.16.10, que é criado devido à opção add-route do comando ip nat outside source. Essa rota é usada para encaminhar e converter pacotes que trafegam de dentro para fora da rede.
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Essa saída é o resultado da execução dos comandos debug ip packet e debug ip nat no roteador 2514X, enquanto faz ping do endereço de interface Loopback0 do roteador 2514W (172.16.88.1) para o endereço de interface Loopback0 do roteador 2501E (171.68.1.1):
*Mar 1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95] !--- The source address in the first packet arriving on !--- the outside interface is first translated. *Mar 1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via RIB *Mar 1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward !--- The ICMP echo request packet with the translated source address !--- is routed and forwarded on the inside interface. *Mar 1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via RIB !--- The ICMP echo reply packet arriving on the inside interface !--- is first routed based on the destination address. *Mar 1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95] !--- The destination address in the packet is then translated. *Mar 1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1 00, forward !--- The ICMP echo reply packet with the translated destination !--- address is forwarded on the outside interface.
O procedimento acima é repetido para cada pacote recebido na interface externa.
A principal diferença entre o uso do comando ip nat outside source list (NAT dinâmico) em vez do comando ip nat outside source static (NAT estático) é que não há entradas na tabela de conversões até que o roteador (configurado para NAT) verifique os critérios de conversão do pacote. No exemplo acima, o pacote com a SA 172.16.88.1 (que entra na interface externa do roteador 2514X) atende à lista de acesso 1, o critério usado pelo comando ip nat outside source list . Por esse motivo, os pacotes devem ser originados pela rede externa, antes que os pacotes da rede interna possam se comunicar com a interface Loopback0 do roteador 2514W.
Duas coisas importantes devem ser observadas neste exemplo.
Primeiro, quando o pacote viaja do lado de fora para o lado de dentro, primeiro ocorre a tradução e, em seguida, a tabela de roteamento é verificada com relação ao destino. Quando o pacote for transportado a partir do interior para o exterior, a tabela de roteamento será primeiramente examinada por questões de destino e, em seguida, ocorrerá a conversão.
Segundo, é importante observar que parte do pacote de IP é convertido ao utilizar cada um dos comandos acima. A tabela a seguir contém uma diretriz:
Comando | Ação |
---|---|
ip nat outside source list |
|
ip nat inside source list |
|
O que as orientações acima indicam é que há mais do que uma maneira de traduzir um pacote. Dependendo das suas necessidades específicas, você deverá determinar como definir as interfaces NAT (interna ou externa) e quais rotas a tabela de roteamento deve conter antes ou após a tradução. Lembre-se de que a parte do pacote a ser traduzida depende da direção na qual o pacote trafega, e de como o NAT está configurado.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
26-Sep-2014 |
Versão inicial |