IP : Conversão de endereços de rede (NAT)

Configuração de exemplo usando o comando ip nat outside source list

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo com o comando ip nat outside source list e inclui uma breve descrição do que acontece ao pacote IP durante o processo NAT. É possível usar este comando para traduzir o endereço de origem dos pacotes IP que viajam fora da rede para dentro da rede. Esta ação traduz o endereço de destino dos pacotes IP que viajam no sentido contrário de "dentro para fora" da rede. Este comando é útil em situações tais como redes sobrepostas, onde os endereços dentro da rede sobrepõe os endereços fora dela. Vamos considerar o diagrama da rede como um exemplo.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas. Contudo, a informação neste documento é baseada nestes versão de software e hardware:

  • Cisco 2500 Series Routers

  • Software Release 12.2(24a) do½ do¿Â do Cisco IOSï que é executado em todo o Roteadores

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/13770/1a.gif

Quando o sibilo for originado da relação do roteador 2514W Loopback0 (172.16.88.1) à relação do roteador 2501E Loopback0 (171.68.1.1), este ocorre:

O roteador 2514W para a frente os pacotes ao roteador 2514X porque é configurado com uma rota padrão. Na interface de roteador exterior 2514X, o pacote tem um source address (SA, endereço-origem) de 172.16.88.1 e um Destination Address (DA) de 171.68.1.1. Porque o SA é permitido na lista de acesso 1, que é usada pelo comando ip nat outside source list, é traduzida a um endereço do conjunto NAT Net171. Observe que o comando ip nat outside source list provê o conjunto NAT "Net171". Neste caso, o endereço é traduzido a 171.68.16.10 que é o primeiro endereço disponível no conjunto NAT. Após a conversão, o 2514X Router procura pelo destino na tabela de roteamento e encaminha o pacote. O Roteador 2501E vê o pacote em sua interface de entrada com SA de 171.68.16.10 e DA de 171.68.1.1. Responde enviando uma resposta de eco de protocolo de mensagem de controle de Internet (ICMP) a 171.68.16.10. Se não tiver uma rota, ele descarta o pacote. Nesse caso, ele tem uma rota (padrão) e envia um pacote ao Roteador 2514X, usando um AS de 171.68.1.1 e um DA de 171.68.16.10. O roteador 2514X vê o pacote em sua interface interna e verifica-o para ver se há uma rota ao endereço de 171.68.16.10. Caso não haja um, ele responde com uma resposta de ICMP inalcançável. Neste caso, tem uma rota a 171.68.16.10, devido à opção da adicionar-rota do comando ip nat outside source que adiciona uma rota do host baseada na tradução entre o Outside Global e o endereço local exterior, assim que traduz o pacote de volta ao endereço de 172.16.88.1, e distribui o pacote para fora sua interface externa.

Configurações

Roteador 2514W
hostname 2514W 
!

!--- Output suppressed.
 
interface Loopback0 
 ip address 172.16.88.1 255.255.255.0 
!

!--- Output suppressed.
 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
!

!--- Output suppressed.
 
ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to 2514X.


!

!--- Output suppressed.

Roteador 2514x
hostname 2514X 
! 

!--- Output suppressed.

! 
interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 
 no ip mroute-cache 
 no ip route-cache 
!

!--- Output suppressed.
 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 ip nat outside 
 no ip mroute-cache 
 no ip route-cache 
 clockrate 2000000 
! 
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 

!--- NAT pool defining Outside Local addresses to be used for translation. 

!
ip nat outside source list 1 pool Net171 add-route

!--- Configures translation for Outside Global addresses
!--- with the NAT pool.  


ip classless 
ip route 172.16.88.0 255.255.255.0 172.16.191.254 
ip route 171.68.1.0 255.255.255.0 171.68.192.201

!--- Static routes for reaching the loopback interfaces 
!--- on 2514W and 2501E.
 

access-list 1 permit 172.16.88.0 0.0.0.255 

!--- Access-list defining Outside Global addresses to be translated. 


!

!--- Output suppressed.

!

Roteador 2501e
hostname 2501E 
! 

!--- Output suppressed.

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 

!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- Default route to forward packets to 2514X.


!

!--- Output suppressed.

Verificar

Esta seção fornece a informação que você pode se usar para confirmar que sua configuração é trabalhos corretamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

O comando show ip nat translations pode ser usado para verificar as entradas de tradução, segundo as indicações da saída abaixo.

2514X# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 171.68.1.1          171.68.1.1         171.68.16.10       172.16.88.1
--- ---                 ---                171.68.16.10       172.16.88.1

2514X#

A saída acima mostra que o endereço global externo 172.16.88.1, que é o endereço na relação de Loopback0 do roteador 2514W, obtém traduzido ao endereço local exterior 171.68.16.10.

Você pode usar o comando show ip route verificar as entradas de tabela de roteamento, como mostrado:

2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       171.68.192.0/24 is directly connected, Ethernet1
S       171.68.1.0/24 [1/0] via 171.68.192.201
S       171.68.16.10/32 [1/0] via 172.16.88.1
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S       172.16.88.0/24 [1/0] via 172.16.191.254
C       172.16.191.252/30 is directly connected, Serial1
2514X#

A saída mostra uma rota de /32 para o endereço local exterior 171.68.16.10, que é criado devido à opção da adicionar-rota do comando ip nat outside source. Esta rota é usada distribuindo e traduzindo os pacotes que viajam do interior à parte externa da rede.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Esta saída é o resultado de executar os comandos debug ip packet e debug ip nat no roteador 2514X, ao sibilar do endereço da relação do roteador 2514W loopback0 (172.16.88.1) ao endereço da relação do roteador 2501E loopback0 (171.68.1.1):

*Mar  1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95]

!--- The source address in the first packet arriving on
!--- the outside interface is first translated.


*Mar  1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via
RIB
*Mar  1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len
100, forward

!--- The ICMP echo request packet with the translated source address
!--- is routed and forwarded on the inside interface.

 
*Mar  1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via
RIB

!--- The ICMP echo reply packet arriving on the inside interface 
!--- is first routed based on the destination address.

 
*Mar  1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95]

!--- The destination address in the packet is then translated.

 

*Mar  1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1
00, forward

!--- The ICMP echo reply packet with the translated destination 
!--- address is forwarded on the outside interface.


O procedimento acima é repetido para cada pacote recebido na interface externa.

Resumo

A principal diferença entre o uso do comando ip nat outside source list (NAT dinâmico) em vez do comando ip nat outside source static (NAT estático) é que não há entradas na tabela de conversões até que o roteador (configurado para NAT) verifique os critérios de conversão do pacote. No exemplo acima, o pacote com o SA 172.16.88.1 (que entra a interface de roteador exterior 2514X) satisfaz a lista de acesso 1, os critérios usados pelo comando ip nat outside source list. Por este motivo, os pacotes devem originar da rede externa antes que os pacotes da rede interna possam se comunicar com a relação do roteador 2514W loopback0.

Duas coisas importantes devem ser observadas neste exemplo.

Primeiro, quando o pacote viaja do lado de fora para o lado de dentro, primeiro ocorre a tradução e, em seguida, a tabela de roteamento é verificada com relação ao destino. Quando o pacote for transportado a partir do interior para o exterior, a tabela de roteamento será primeiramente examinada por questões de destino e, em seguida, ocorrerá a conversão.

Segundo, é importante observar que parte do pacote de IP é convertido ao utilizar cada um dos comandos acima. A tabela a seguir contém uma diretriz:

Comando Ação
lista de origem externa nat IP
  • traduz a origem dos pacotes IP que estão viajando de fora para dentro
  • converte o destino dos pacotes IP que estão trafegando de dentro para fora
ip nat inside source list
  • traduz a origem de pacotes IP que estão trafegando de dentro para fora
  • converte o destino dos pacotes IP que estão trafegando de fora para dentro

O que as orientações acima indicam é que há mais do que uma maneira de traduzir um pacote. Dependendo das suas necessidades específicas, você deverá determinar como definir as interfaces NAT (interna ou externa) e quais rotas a tabela de roteamento deve conter antes ou após a tradução. Lembre-se de que a parte do pacote a ser traduzida depende da direção na qual o pacote trafega, e de como o NAT está configurado.


Informações Relacionadas


Document ID: 13770