IP : Conversão de endereços de rede (NAT)

Suporte de NAT para conjuntos múltiplos utilizando mapas de rota

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento explica como o uso de listas de acessos em oposição aos mapas de rotas altera a funcionalidade da NAT (Conversão de endereço de rede). Para obter mais informações sobre do NAT, refira o Cisco IOS NAT.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2500 Series Router.

  • Software Release 12.3(3) de Cisco IOS�.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O NAT só usa as listas de acesso e mapas de rota quando precisa criar uma entrada de tradução. Se uma entrada de tradução já existe que combina o tráfego então a entrada de tradução será usada; nenhuns Listas de acesso ou mapas de rota não serão consultado. A diferença entre a utilização de uma lista de acessos ou de um mapa de rota é o tipo de entrada de tradução que será criado.

Mapas de rotas

Ao utilizar um mapa de rotas para criar uma entrada de conversão, o NAT sempre criará uma entrada de conversão “fully extended”. Esta entrada de tradução conterá ambos as entradas de endereço (locais e globais) do interior e da parte externa e toda a informação de porta TCP ou UDP. Refira o NAT: Definições locais e globais para obter mais informações sobre dos endereços (locais e globais) do interior e da parte externa.

Listas de acesso (nenhuma sobrecarga)

Quando o NAT usa uma lista de acesso para decidir criar uma entrada de tradução, ele cria uma entrada de tradução "simples". Essa entrada "simples" apenas conterá entradas de endereços IP globais para apenas a parte interna ou externa, dependendo de o comando ip nat inside ou ip nat outside estar ou não configurado. Além disso, não incluirá nenhuma informação de porta TCP ou UDP.

Listas de acesso (com sobrecarga)

Quando o NAT usa uma lista de acesso e a sobrecarga também foi especificada, ele cria uma entrada de tradução "totalmente estendida". (Veja Note1). A operação é similar à caixa de mapa de rotas salvo que o mapa de rotas tem alguns recursos adicionais. Veja a nota 2 para mais detalhes. Você pode ver um exemplo de uma entrada simples de tradução NAT e de uma entrada de tradução NAT totalmente estendida selecionando um destes links:

Este é um diagrama de rede de exemplo usado para ilustrar a diferença entre a utilização de um mapa de rota e de uma lista de acessos com NAT:

/image/gif/paws/13739/nat_routemap1.gif

Neste diagrama de rede de exemplo, exige-se que os anfitriões em 10.1.1.0 estejam traduzidos ao seguinte:

  • 131.108.2.0 quando estiver indo para 131.108.1.0

  • 131.118.2.0 quando estiver indo para 131.118.1.0

Abordagem de lista de acesso

Com um método de lista de acesso, você faria o seguinte para converter os hosts no 10.1.1.0:

ip nat pool pool108 131.108.2.1 131.108.2.254 prefix-length 24

!--- Defines a pool of global addresses to be allocated as needed.
 
     ip nat pool pool118 131.118.2.1 131.118.2.254 prefix-length 24

     ip nat inside source list 108 pool pool108
     
!--- Establishes dynamic source translation, specifying the 
     !--- access list defined below.
 
     ip nat inside source list 118 pool pool118

     interface ethernet0
       ip address 10.1.1.1 255.255.255.0
       ip nat inside
       
!--- Marks the interface as connected to the inside.
 
     interface ethernet1
       ip address 10.1.2.1 255.255.255.0
       ip nat outside
       
!--- Marks the interface as connected to the outside.


     access-list 108 permit ip 10.1.1.0 0.0.0.255 131.108.1.0 0.0.0.255
     
!--- Defines the access-list mentioning those addresses 
     !--- that are to be translated.

     access-list 118 permit ip 10.1.1.0 0.0.0.255 131.118.1.0 0.0.0.255

Refira o endereçamento de IP e preste serviços de manutenção a comandos para obter mais informações sobre destes comandos.

Host 1 para Host 2

É isto que acontece quando o Host 1 se conecta como telnet com o Host 2.

Packet on (Network 1) s:10.1.1.2(1024)     d:131.108.1.2(23)
     Packet on (Network 2) s:131.108.2.1(1024)  d:131.108.1.2(23)   (after NAT)

Porque uma lista de acessos foi usada pelo NAT para combinar este tráfego uma entrada de tradução simples é criada, que inclua somente a informação de tradução interna e o nenhum protocolo ou informação de porta:

inside                         outside
         local        global          global         local
        10.1.1.2     131.108.2.1       ----           ----

Pacote de retorno: Host 2 para Host 1:

Packet on (Network 2)  s:131.108.1.2(23)  d:131.108.2.1(1024)
     Packet on (Network 1)  s:131.108.1.2(23)  d:10.1.1.2(1024)      (after NAT)

Host 1 para Host 3

Com a conversão simples acima ocorrendo, isto é o que acontece quando o Host 1 também aplica Telnet ao Host 3:

Packet on (Network 1)  s:10.1.1.2(1025)     d:131.118.1.2(23)
     Packet on (Network 2)  s:131.108.2.1(1025)  d:131.118.1.2(23)   (after NAT)

Você pode ver que há um problema. Pacotes indo de hosts 10.1.1.0 para hosts 131.118.1.0 devem ser convertidos em 131.118.2.0, não em 131.108.2.0. A razão que esta acontece é porque há já uma entrada da tradução NAT para 10.1.1.2 <--> 131.108.2.1 que igualmente combina o tráfego entre o host 1 e o host 3. Portanto, essa entrada de conversão será usada e as listas de acesso 108 e 118 não serão verificadas.

Quando a entrada de tradução simples for no lugar na tabela de tradução NAT, pode ser usada por todo o usuário externo em qualquer host exterior para enviar um pacote para hospedar 1 enquanto o usuário externo usa o endereço global interno (131.108.2.1) para o host 1. uma tradução NAT estática estão precisados normalmente que de permitir este.

Método de mapa de rotas

A maneira correta de configurar o exemplo deste documento é por meio da utilização de mapas de rotas. Com o método de mapa de rotas, você deve adotar o seguinte procedimento para converter os hosts em 10.1.1.0:

ip nat pool pool-108 131.108.2.1 131.108.2.254 prefix-length 24
     ip nat pool pool-118 131.118.2.1 131.118.2.254 prefix-length 24

     ip nat inside source route-map MAP-108 pool pool-108
     
!--- Establishes dynamic source translation, specifying 
     !--- the route-map MAP-108 which is defined below. 

     ip nat inside source route-map MAP-118 pool pool-118

     !--- Establishes dynamic source translation, specifying the route-map MAP-118.
     !--- Here, the route-maps are consulted instead of 
     !--- access-lists (as in the previous case).



     interface ethernet0
       ip address 10.1.1.1 255.255.255.0
       ip nat inside
     interface ethernet1
       ip address 10.1.2.1 255.255.255.0
       ip nat outside

     access-list 108 permit ip 10.1.1.0 0.0.0.255 131.108.1.0 0.0.0.255
     access-list 118 permit ip 10.1.1.0 0.0.0.255 131.118.1.0 0.0.0.255

     route-map MAP-108 permit 10
     
!--- Defines the Route-map MAP-108.

     match ip address 108
     
!--- Specifies the criteria for translation. Here, the IP 
     !--- address mentioned in the access-list 108 is translated.
     !--- The translation is defined in the
     !--- ip nat inside source route-map MAP-108 pool pool-108 command.




     route-map MAP-118 permit 10
     
!--- Defines the Route-map MAP-108.

     match ip address 118
     
!--- The IP address mentioned in the access-list 118 is translated. 
     !--- The translation is defined in the 
     !--- ip nat inside source route-map MAP-118 pool pool-118 command.

Refira o endereçamento de IP e preste serviços de manutenção a comandos para obter mais informações sobre destes comandos.

Host 1 para Host 2

Eis o que acontece quando o host 1 usa o Telnet para o host 2:

Packet on (Network 1) s:10.1.1.2(1024)     d:131.108.1.2(23)
     Packet on (Network 2) s:131.108.2.1(1024)  d:131.108.1.2(23)   (after NAT)

Nesse caso, como o mapa de rotas foi usado pelo NAT para corresponder ao tráfego a ser convertido, o NAT criará uma entrada de conversão completamente estendida, que inclui informações de conversão internas e externas.

 inside                               outside
         local            global             global             local
     10.1.1.2:1024    131.108.2.1:1024   131.108.1.2:23     131.108.1.2:23

Pacote de retorno: Host 2 para Host 1:

Packet on (Network 2) s:131.108.1.2(23)  d:131.108.2.1(1024)
     Packet on (Network 1) s:131.108.1.2(23)  d:10.1.1.2(1024)      (after NAT)

Host 1 para Host 3

Agora em que o host 1 envia um pacote para hospedar 3, este é o que aparece:

Packet on (Network 1) s:10.1.1.2(1025)     d:131.118.1.2(23)
     Packet on (Network 2) s:131.118.2.1(1025)  d:131.118.1.2(23)   (after NAT)

A tradução trabalhou corretamente porque o pacote sobre (N1) não combina a entrada de tradução totalmente estendida que foi usada para o host 1 para hospedar o tráfego 2. Porque a tradução existente não combina, o NAT cria uma outra entrada de tradução para o host 1 para hospedar o tráfego 3.

Estas são as entradas de tradução totalmente estendida no roteador NAT:

inside                               outside
         local            global             global             local
     10.1.1.2:1024    131.108.2.1:1024   131.108.1.2:23     131.108.1.2:23
     10.1.1.2:1025    131.118.2.1:1025   131.118.1.2:23     131.118.1.2:23

Como a tabela de conversão NAT possui duas entradas completas, ela converterá corretamente o tráfego que vai para os dois destinos diferentes da mesma origem.

Ao contrário da entrada de tradução simples que foi criada através da lista de acessos, a entrada de tradução totalmente estendida criada através do mapa de rota não pode ser usada por nenhum outro usuário externo para enviar um pacote para hospedar 1. Uma tradução NAT estática é precisada de permitir esta.

Nota 1

No caso da lista de acesso com sobrecarga, a configuração é similar à lista de acesso sem caso da sobrecarga. A exceção é que você precisa de adicionar a sobrecarga de palavra-chave ao comando ip nat inside source list 108 pool pool108 e ip nat inside source list 118 pool pool118.

Nota 2

A vantagem de usar mapas de rotas é aquela sob o comando match que você pode ter mais opções diferentes do endereço IP de origem. Por exemplo, sob o mapa de rotas, a relação do fósforo ou o salto seguinte do fósforo IP podem ser especificados. Usando mapas de rotas, você pode especificar o endereço IP de Um ou Mais Servidores Cisco ICM NT assim como a relação ou o endereço de próximo salto a que o pacote deve ser enviada. Consequentemente, os mapas de rotas com NAT são usados em uma encenação onde o subscritor multi-esteja dirigindo aos ISP diferentes.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13739