IP : Conversão de endereços de rede (NAT)

Configurando o NAT estático e dinâmico simultaneamente

18 Junho 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (22 Maio 2008) | Inglês (19 Dezembro 2015) | Feedback


Índice


Introdução

Em algumas situações, talvez seja necessário configurar os comandos da Tradução de Endereço de Rede (NAT) estática e dinâmica em um roteador Cisco. Este documento explica como fazer isso e fornece um cenário de amostra.

Pré-requisitos

Requisitos

Os conhecimentos de conceito básico NAT e as operações são úteis.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 3600 Series Routers

  • Software Release 12.3(3) do ½ do ¿  de Cisco IOSïÂ

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurando o NAT

Com o NAT dinâmico, as conversões não existem na tabela de NAT até que o roteador receba o tráfego que necessite de conversão. As conversões dinâmicas possuem um timeout e após esse período elas são removidas da tabela de conversão.

Com o NAT estático, haverá traduções na tabela de traduções NAT assim que você configurar os comandos NAT estáticos. Essas traduções permanecem na tabela até que os comandos NAT sejam excluídos.

O digrama de rede a seguir é um exemplo:

http://www.cisco.com/c/dam/en/us/support/docs/ip/network-address-translation-nat/13778-9a.gif

Esses comandos são configurados no roteador NAT mostrado acima:

NAT Router
version 12.3

ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0
 


!--- Refer to 
ip nat pool
 for more details on the command.
.

ip nat inside source list 7 pool test  


!--- Refer to 
ip nat inside source
 for more details on the command.


ip nat inside source static 10.10.10.1 172.16.131.1

 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside

 interface s 0

 ip address 172.16.130.2 255.255.255.0

 ip nat outside

ip route 192.168.1.0 255.255.255.0 172.16.130.1

 access-list 7 permit 10.10.10.0 0.0.0.255

A configuração no dispositivo de OutsideA é:

Roteador de OutsideA
version 12.3
hostname outsideA

!
!
!
interface Serial1/0

ip address 172.16.130.1 255.255.255.0

serial restart-delay 0

clockrate 64000

!

interface FastEthernet2/0

ip address 192.168.1.1 255.255.255.0

speed auto

half-duplex

ip route 172.16.131.0 255.255.255.0 172.16.130.2

A configuração no dispositivo do LadoA é:

Roteador do LadoA
version 12.3

!
interface Ethernet1/0
 ip address 10.10.10.1 255.255.255.0
 half-duplex
!
ip route 0.0.0.0 0.0.0.0 10.10.10.254
!
!

Usando o comando show ip nat translations, você pode ver os índices da tabela de tradução:

NATrouter#show ip nat translations
Pro Inside global    Inside local    Outside local    Outside global
--- 172.16.131.1     10.10.10.1      ---              ---

Observe que somente a tradução estática está alistada na tabela de tradução. Esta entrada converte o endereço global interno de volta para o endereço local interno, o que significa que os dispositivos na nuvem externo poderão enviar pacotes ao endereço global 172.16.131.1 e alcançar o dispositivo na nuvem interna que tem o endereço local 10.10.10.1.

O mesmo é mostrado abaixo:

outsideA#ping 172.16.131.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.131.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

 

NATrouter#debug ip nat 

18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1005]
18:12:06: NAT: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1005]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1006]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1006]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1007]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1007]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1008]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1008]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1009]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1009]

Nenhuma outra tradução é gerada ou inserida na tabela de tradução até que o roteador receba um pacote em sua interface interna com um endereço de origem permitido pela lista de controle de acesso (ACL) 7.

Entretanto, como ainda não foi inserida nenhuma tradução dinâmica, os dispositivos externos não podem alcançar nenhum dos dispositivos internos (além de 10.10.10.1), mesmo se enviarem pacotes a um endereço global (172.16.131.2 até 172.16.131.10). Quando o roteador recebe um pacote destinado a um desses endereços globais, ele verifica se há uma conversão na tabela de conversões. Se não houver nenhum, ele tentará rotear o pacote. Este comportamento de NAT será discutido posteriormente em Configuração de Exemplo Usando o Comando ip nat outside source list e Configuração de Exemplo Usando o Comando ip nat outside source static.

Na topologia acima, se a comunicação entre os dispositivos de rede internos e externos for originada apenas pelos dispositivos internos, a conversão dinâmica será realizada corretamente. Mas que se um servidor de e-mail é adicionado na rede interna que precisa de receber os pacotes originados pela parte externa? Agora, é necessário configurar uma entrada NAT estática para que os servidores de e-mail na parte externa possam originar a comunicação com o servidor de e-mail na parte interna. Se no exemplo acima, o servidor de e-mail for o dispositivo com o endereço local de 10.10.10.1, já haverá uma tradução estática.

No entanto, nos casos em que você não tem muitos endereços globais para poupar e precisa configurar estaticamente um único dispositivo para NAT, use uma configuração como a que é mostrada abaixo:

NAT Router
ip nat inside source list 7 interface serial 0 overload


ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25

!--- Refer to 
ip nat inside source
 for more details on the command.


 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside 

!--- For more details the ip nat inside|outside command,
!--- please refer to 
ip nat inside
.


 interface s 0

ip address 172.16.130.2 255.255.255.0

ip nat outside 

 access-list 7 permit 10.10.10.0 0.0.0.255

 ip route 0.0.0.0 0.0.0.0 172.16.130.1

No exemplo acima, o NAT é configurado para sobrecarregar os endereços IP de 0s Seriais. Isto significa que mais de um endereço local interno pode dinamicamente ser traduzido ao mesmo endereço global, neste caso, o endereço atribuído ao Serial 0. além, NAT é configurado estaticamente de modo que os pacotes com origem do endereço local 10.10.10.1 com porta TCP 25 (S TP) sejam traduzidos à porta TCP de série 25 do endereço IP de Um ou Mais Servidores Cisco ICM NT 0's. Desde que esta é uma entrada NAT estática, os servidores de e-mail na parte externa podem originar pacotes S TP (porta TCP 25) ao endereço global de 172.16.131.254.

Nota: Embora seja possível usar o mesmo endereço global para o dinâmico e o NAT estático, sempre que possível é melhor usar endereços globais diferentes.

A tabela de tradução NAT tem a seguinte entrada:

NATRouter#show ip nat translations

   Pro Inside global    Inside local   Outside local Outside global

   tcp 172.16.130.2:25  10.10.10.1:25      ---          --- 

A saída nat debugar IP mostra a tradução NAT quando o LadoA dos acessos de dispositivo do outsideA:

04:21:16: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1    [9919]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [0]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9922]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9923]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [1]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [2]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [3]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9927]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [4]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [5]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9931]

   04:21:17: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9934]

   04:21:17: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9935]

   04:21:17: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [6]

Em resumo, o NAT dinâmico requer pacotes para serem comutados pelo roteador NAT para gerar conversões de NAT na tabela de conversão. Se você usa o comando ip nat inside, estes pacotes devem originar do interior. Se você usar o comando ip nat outside, esses pacotes deveram ser originados na parte externa.

NAT estática não exige que os pacotes sejam comutados por meio do roteador e as conversões são inseridas estaticamente na tabela de conversão.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13778