IP : Conversão de endereços de rede (NAT)

Configuração de exemplo utsando o comando ip nat outside source static

18 Junho 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (21 Abril 2016) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo com o uso do comando ip nat outside source static e inclui uma breve descrição do que acontece ao pacote IP durante o processo de NAT. Considere a topologia de rede neste documento como um exemplo.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Veja a seção da “informação relacionada” deste documento para mais informações.

Componentes Utilizados

A informação neste documento é baseada em Cisco 2500 Series Router no Software Release 12.2(27) do ½ do ¿  de Cisco IOSïÂ.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Esta seção apresenta informações para configurar as características que este documento descreve.

Nota: Use a ferramenta de consulta de comandos (clientes registrados somente) para encontrar a informação adicional nos comandos que este documento usa.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede.

http://www.cisco.com/c/dam/en/us/support/docs/ip/network-address-translation-nat/13773-2a.gif

Quando você emite um sibilo originado da relação do roteador 2514W's Loopback1 destinada à relação do roteador 2501E's Loopback0, este é o que acontece:

Na interface externa (S1) do roteador 2514X, das apresentações do pacote de ping acima com um source address (SA, endereço-origem) de 172.16.89.32 e de um Destination Address (DA) de 171.68.1.1. O NAT traduz o SA ao endereço local exterior 171.68.16.5 (de acordo com o comando ip nat outside source static configurado no roteador 2514X). O roteador 2514x verifica, então, a tabela de roteamento para obter uma rota para 171.68.1.1. Se a rota não existe, o roteador 2514X deixa cair o pacote. Neste caso, o roteador 2514X tem uma rota a 171.68.1.1 através da rota estática a 171.68.1.0. Ele para a frente o pacote ao destino. O roteador 2501E vê o pacote em sua interface de entrada (E0) com um SA de 171.68.16.5, e um DA de 171.68.1.1. Ele responde enviando uma resposta de eco do Protocolo de mensagens de controle da Internet (ICMP) para 171.68.16.5. Se não tiver uma rota, ele descarta o pacote. Contudo, neste caso tem a rota (do padrão). Consequentemente, envia um pacote de resposta ao roteador 2514X, usando um SA de 171.68.1.1, e um DA de 171.68.16.5. O roteador 2514x detecta o pacote e verifica se há uma rota para o endereço 171.68.16.5. Caso não haja um, ele responde com uma resposta de ICMP inalcançável. Neste caso, tem uma rota a 171.68.16.5 (devido à rota estática). Tradu-lo consequentemente o pacote de volta ao endereço de 172.16.89.32, e para a frente para fora sua interface externa (S1).

Configurações

Este documento utiliza as seguintes configurações:

Roteador 2514W
hostname 2514W 
! 


!--- Output suppressed.

interface Loopback1 
 ip address 172.16.89.32 255.255.255.0 
! 
interface Ethernet1 
 no ip address 
 no ip mroute-cache 
! 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
! 

!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.

Roteador 2514x
hostname 2514X 
! 


!--- Output suppressed.

ip nat outside source static 172.16.89.32 171.68.16.5 

!--- Outside local address.

! 


!--- Output suppressed.

interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 

!--- Defines Ethernet 1 as a NAT inside interface.

 no ip mroute-cache 
 no ip route-cache 
! 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 no ip route-cache 
 ip nat outside 

!--- Defines Serial 1 as a NAT outside interface.

 clockrate 2000000 



! 


!--- Output suppressed.

ip classless  
ip route 171.68.1.0 255.255.255.0 171.68.192.201 
ip route 171.68.16.0 255.255.255.0 172.16.191.254 

!--- Static routes for reaching the loopback interfaces


!--- on 2514E and 2514W.

!


!--- Output suppressed.

Roteador 2501e
hostname rp-2501E 
! 


!--- Output suppressed.

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 


!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Use o comando show ip nat translations verificar as entradas de tradução, como esta saída mostra.

2514X#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                171.68.16.5        172.16.89.32
2514X#

Troubleshooting

Este exemplo usa a eliminação de erros da tradução de NAT debugging e do pacote IP para demonstrar o processo NAT.

Nota: Porque os comandos debug geram uma quantidade significativa de saída, use-os somente quando o tráfego na rede IP é baixo de modo que a outra atividade no sistema não esteja afetada adversamente.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Esta saída é o resultado de executar simultaneamente sobre o roteador 2514X, ao sibilar do endereço da relação do roteador 2514W loopback1 (172.16.89.32) ao endereço da relação do roteador 2501E loopback0 (171.68.1.1)

Esta saída mostra o primeiro pacote que chega na interface de roteador exterior 2514X. O endereço de origem 172.16.89.32 é traduzido para 171.68.16.5. O pacote ICMP é encaminhado para o destino fora da interface Ethernet1.

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [171]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0

Esta saída mostra o pacote de informação de retorno originado de 171.68.1.1 com um endereço de destino de 171.68.16.5, que obtenha traduzido a 172.16.89.32. O pacote de informação de ICMP resultante obtém enviado para fora a relação de Serial1.

5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [171]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

A troca dos pacotes ICMP continua. O processo NAT para este resultado do debug é o mesmo que a saída precedente.

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [172]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [172]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [173]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [173]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [174]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [174]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [175]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [175]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

Resumo

Quando o pacote viaja da parte externa a para dentro, a tradução ocorre primeiramente, e a tabela de roteamento é verificada então para ver se há o destino. Quando o pacote viaja do interior a fora, a tabela de roteamento está verificada para ver se há o destino primeiramente, e então a tradução ocorre. Refira o ordem de operação NAT para mais informações.

É importante notar qual parte do pacote IP obtém traduzido ao usar cada um dos comandos este documento discute. Esta tabela contém uma diretriz:

Comando Ação
ip nat fora da estática de origem
  • Traduz a fonte dos pacotes IP que viajam fora ao interior.
  • Traduz o destino dos pacotes IP que viajam para dentro à parte externa.
ip nat inside source static
  • Traduz a fonte de pacotes IP que viajam para dentro à parte externa.
  • Traduz o destino dos pacotes IP que viajam fora ao interior.

Estas diretrizes indicam que há mais de uma maneira de traduzir um pacote. Baseado em suas necessidades específicas, você deve determinar como definir as relações NAT (dentro ou fora) e o que distribui a tabela de roteamento deve conter antes ou depois da tradução. Mantenha na mente que a parcela do pacote que é traduzido depende em cima do sentido que o pacote viaja, e de como você configura o NAT.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13773