IP : Serviços de endereçamento IP

Tradução de Endereço de Rede "on a Stick"

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (28 Julho 2013) | Inglês (15 Dezembro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Informações de Apoio
      Convenções
Exemplo 1 - Diagrama de Rede e Configuração
      Diagrama de Rede
      Requisitos
      Configuração do Roteador de NAT
Exemplo 1 - Saída dos Comandos show e debug
      Teste Um
      Teste Dois
Exemplo 2 - Diagrama de Rede e Configuração
      Diagrama de Rede
      Requisitos
      Configuração do Roteador de NAT
Exemplo 2 - Saída dos Comandos show e debug
      Teste Um
Resumo
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

O que queremos dizer com Tradução de Endereço de Rede (NAT) "on a stick"? O termo "on a stick" normalmente implica no uso de uma única interface física de um roteador para desempenhar uma tarefa. Assim como podemos usar subinterfaces da mesma interface física para realizar o truncamento do Link entre Switches (ISL), é possível usar uma única interface física em um roteador para realizar o NAT.

Nota: O roteador deverá processar a troca de cada pacote devido à interface de loopback. Fazer isso afeta o desempenho do roteador.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este recurso necessita do uso de uma versão do Cisco IOS® Software que ofereça suporte ao NAT. Use o Cisco Feature Navigator II (somente clientes registrados) para determinar quais versões do IOS podem ser usadas com esse recurso.

Informações de Apoio

Para que o NAT ocorra, um pacote deverá ser transmitido de uma interface "interna" de NAT para uma interface "externa" ou vice-versa. Esse requisito de NAT não foi mudado, mas este documento demonstra como é possível usar uma interface virtual, conhecida também como interface de loopback, e o roteamento baseado em políticas para fazer o NAT funcionar em uma única interface física.

Casos em que esse tipo de NAT é necessário são muito raros. Na realidade, os exemplos nesse documento podem ser as únicas situações em que essa configuração é necessária. Embora possa haver outras ocasiões em que os usuários empregam o roteamento com base em políticas em conjunto com o NAT, não podemos considerá-las como NAT "on a stick" porque, nesses casos, mais de uma interface física é usada.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Exemplo 1 - Diagrama de Rede e Configuração

Diagrama de Rede

nat-on-stick-a.gif

O diagrama de rede acima é muito comum em uma configuração de modem a cabo. O sistema de terminação de modem a cabo (CMTS) é um roteador e o modem a cabo (CM) é um dispositivo que funciona como bridge. Nosso problema é que o provedor de Internet (ISP) não nos forneceu endereços válidos suficientes para o número de hosts que precisam se conectar à Internet. O ISP forneceu apenas o endereço 192.168.1.2, o qual deveria ser usado para um dispositivo. Mediante solicitação adicional, recebemos outros três — 192.168.2.1 a 192.168.2.3 — nos quais o NAT converte os hosts no intervalo 10.0.0.0/24.

Requisitos

Nossos requisitos são:

  • Todos os hosts da rede devem poder se conectar à Internet.

  • O host 2 deve ser capaz de ser alcançado pela Internet com o endereço IP 192.168.2.1.

  • Como podemos ter mais hosts que o número de endereços legais, usamos a sub-rede 10.0.0.0/24 para nosso endereçamento interno.

Para os fins deste documento, mostramos somente a configuração do roteador de NAT. No entanto, mencionamos algumas notas de configuração importantes relacionadas aos hosts.

Configuração do Roteador de NAT

Configuração do Roteador de NAT

interface Loopback0
 ip address 10.0.1.1 255.255.255.252
 ip nat outside

!--- Cria uma interface virtual chamada Loopback 0 e atribui um
!--- endereço IP 10.0.1.1 a ela. Define a interface Loopback 0 como
!--- NAT externo

!
!
interface Ethernet0
 ip address 192.168.1.2 255.255.255.0 secondary
 ip address 10.0.0.2 255.255.255.0
 ip Nat inside

!--- Atribui um endereço IP primário 10.0.0.2 e um endereço IP
!--- secundário 192.168.1.2 a Ethernet 0. Define a interface Ethernet 0
!--- como NAT interno O endereço 192.168.1.2 será usado na comunicação pelo
!--- CM para o CMTS e a Internet.  O endereço 10.0.0.2
!--- será usado na comunicação com os hosts locais. 


 ip policy route-map Nat-loop

!--- Atribui o mapa de rotas "Nat-loop" à interface Ethernet 0 para o roteamento com base em políticas.

!
ip Nat pool external 192.168.2.2 192.168.2.3 prefix-length 29
ip Nat inside source list 10 pool external overload
ip Nat inside source static 10.0.0.12 192.168.2.1

!--- Definição de NAT: os pacotes correspondentes a access-list 10 serão
!--- traduzidos para um endereço do pool chamado "external".
!--- Uma tradução de NAT estático é definida para transformar 10.0.0.12 em
!--- 192.168.2.1 (para o host 2 que deve poder
!--- ser acessado da Internet).


ip classless
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route 192.168.2.0 255.255.255.0 Ethernet0

!--- Rota padrão estática definida como 192.168.1.1, também uma
!--- rota estática para a rede 192.168.2.0/24 diretamente conectada à
!--- interface Ethernet 0

!
!
access-list 10 permit 10.0.0.0 0.0.0.255

!--- Access-list 10 definida para uso pela instrução NAT acima. 


access-list 102 permit ip any 192.168.2.0 0.0.0.255
access-list 102 permit ip 10.0.0.0 0.0.0.255 any

!--- Access-list 102 definida para uso pelo mapa de rotas "Nat-loop"
!--- usada para o roteamento com base em políticas.

!
Access-list 177 permit icmp any any

!--- Access-list 177 usada em debug.

!
route-map Nat-loop permit 10
 match ip address 102
 set ip next-hop 10.0.1.2

!--- Cria o mapa de rotas "Nat-loop" usado para o roteamento com base em políticas.
!--- O mapa de rotas determina que qualquer pacote que corresponda à lista de acesso 102
!--- tenha o próximo salto definido para 10.0.1.2 e seja roteado pela
!--- interface de loopback. Todos os demais pacotes serão roteados normalmente.
!--- Usaremos 10.0.1.2 porque este próximo salto é visto como localizado
!--- na interface de loopback, o que resultaria em um roteamento com base em políticas para
!--- loopback0. Alternativamente, poderíamos ter usado "set interface
!--- loopback0". O resultado teria sido o mesmo.

!
end
NAT-router#

Nota: A configuração do gateway padrão de todos os hosts é 10.0.0.2, que é o roteador de NAT. O ISP e o CMTS devem possuir uma rota para 192.168.2.0/29 que aponte para o roteador de NAT para que o tráfego de retorno funcione porque o tráfego dos hosts internos é proveniente dessa sub-rede. Neste exemplo, o CMTS rotearia o tráfego para 192.168.2.0/29 a 192.168.1.2, o qual é o endereço IP secundário configurado no roteador de NAT.

Exemplo 1 - Saída dos Comandos show e debug

Esta seção fornece informações que você pode usar para confirmar se a sua configuração funciona corretamente.

Para ilustrar que a configuração acima funciona, executamos alguns testes de ping enquanto a saída do comando debug no roteador de NAT é monitorada. É possível observar que os comandos ping são bem-sucedidos e que a saída de debug mostra exatamente o que está acontecendo.

Nota: Antes de usar os comandos debug, consulte Informações Importantes sobre Comandos de Depuração.

Teste Um

Para nosso primeiro teste, enviamos um ping de um dispositivo em nossa Internet de laboratório para Host 2. Lembre-se de que um dos requisitos era que os dispositivos na Internet devem ser capazes de se comunicar com Host 2 com o endereço IP 192.168.2.1. A saída do comando debug conforme vista no roteador de NAT é mostrada a seguir. Os comandos debug que estavam em execução no roteador de NAT eram debug ip packet 177 detail que usa a access-list 177 definida, debug ip Nat e debug ip policy para mostrar os pacotes roteados por políticas.

Esta é a saída do comando show ip Nat translation executado no roteador de NAT:

NAT-router# show ip Nat translation
Pro Inside global      Inside local       Outside local      Outside global
--- 192.168.2.1        10.0.0.12          ---                ---
NAT-router#

De um dispositivo na Internet, neste caso um roteador, enviamos um ping para 192.168.2.1, o qual é bem-sucedido e mostrado aqui:

Internet-device# ping 192.168.2.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/92/92 ms
Internet-device#

Para ver o que acontece no roteador de NAT, consulte esta saída do comando debug e seus comentários:

IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1, len 100, policy match
    ICMP type=8, code=0
IP: route map Nat-loop, item 10, permit
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1 (Loopback0), Len 100, policy routed
    ICMP type=8, code=0

!--- A saída de debug acima mostra o pacote proveniente de 177.10.1.3 com destino
!--- a 192.168.2.1.  O pacote corresponde às instruções no mapa de roteamento
!--- com base em políticas "Nat-loop" e é permitido e roteado de acordo com as políticas. O Internet
!--- Control Message Protocol (ICMP) tipo 8, código 0 indica que este pacote
!--- é um pacote de solicitação de eco de ICMP.


IP: Ethernet0 to Loopback0 10.0.1.2
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1 (Loopback0), g=10.0.1.2, Len 100,
forward
    ICMP type=8, code=0

!--- O pacote é agora roteado para endereço 10.0.1.2 do próximo salto
!--- conforme mostrado acima.


IP: NAT enab = 1 trans = 0 flags = 0
NAT: s=177.10.1.3, d=192.168.2.1->10.0.0.12 [52]
IP: s=177.10.1.3 (Loopback0), d=10.0.0.12 (Ethernet0), g=10.0.0.12, Len 100,
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- Agora que a decisão de roteamento foi tomada, o NAT ocorre. Podemos
!--- ver acima que o endereço 192.168.2.1 é traduzido para 10.0.0.12 e
!--- este pacote é encaminhado pela Ethernet 0 para o host local.
!--- Nota: Quando um pacote trafega do interior para o exterior, ele é roteado e
!--- traduzido (NAT). Na direção oposta (exterior para interior),
!--- o NAT ocorre primeiro.


IP: s=10.0.0.12 (Ethernet0), d=177.10.1.3, Len 100, policy match
    ICMP type=0, code=0
IP: route map Nat-loop, item 10, permit
IP: s=10.0.0.12 (Ethernet0), d=177.10.1.3 (Loopback0), Len 100, policy routed
    ICMP type=0, code=0
IP: Ethernet0 to Loopback0 10.0.1.2

!--- Host 2 agora envia uma resposta de eco ICMP vista como ICMP tipo 0, código 0.
!--- Este pacote também corresponde às instruções de roteamento com base em políticas e é
!--- permitido para o roteamento com base em políticas.


NAT: s=10.0.0.12->192.168.2.1, d=177.10.1.3 [52]
IP: s=192.168.2.1 (Ethernet0), d=177.10.1.3 (Loopback0), g=10.0.1.2, Len 100,
forward
    ICMP type=0, code=0
IP: s=192.168.2.1 (Loopback0), d=177.10.1.3 (Ethernet0), g=192.168.1.1, Len 100,
forward
    ICMP type=0, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- A saída acima mostra que o endereço IP de Host 2 é traduzido para
!--- 192.168.2.1 e o pacote resultante é enviado para loopback 0
!--- devido ao roteamento com base em políticas e finalmente encaminhado
!--- pela interface Ethernet 0 para o dispositivo da Internet.

!--- O restante da saída de debug mostrada é uma repetição da anterior
!--- para cada uma das quatro trocas de pacotes ICMP adicionais (por padrão,
!--- cinco pacotes ICMP são enviados no ping de roteadores Cisco). Omitimos
!--- a maior parte da saída porque ela é redundante.


IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1, Len 100, policy match
    ICMP type=8, code=0
IP: route map Nat-loop, item 10, permit
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1 (Loopback0), Len 100, policy routed
    ICMP type=8, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1 (Loopback0), g=10.0.1.2, Len 100,
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0
NAT: s=177.10.1.3, d=192.168.2.1->10.0.0.12 [53]
IP: s=177.10.1.3 (Loopback0), d=10.0.0.12 (Ethernet0), g=10.0.0.12, Len 100,
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0
IP: s=10.0.0.12 (Ethernet0), d=177.10.1.3, Len 100, policy match
    ICMP type=0, code=0
IP: route map Nat-loop, item 10, permit
IP: s=10.0.0.12 (Ethernet0), d=177.10.1.3 (Loopback0), Len 100, policy routed
    ICMP type=0, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
NAT: s=10.0.0.12->192.168.2.1, d=177.10.1.3 [53]
IP: s=192.168.2.1 (Ethernet0), d=177.10.1.3 (Loopback0), g=10.0.1.2, Len 100,
forward
    ICMP type=0, code=0
IP: s=192.168.2.1 (Loopback0), d=177.10.1.3 (Ethernet0), g=192.168.1.1, Len 100,
forward
    ICMP type=0, code=0
IP: NAT enab = 1 trans = 0 flags = 0

Teste Dois

Outro de nossos requisitos é permitir que os hosts se comuniquem com a Internet. Para este teste, enviamos um ping para o dispositivo da Internet de Host 1. Os comandos show e debug resultantes são mostrados a seguir.

Inicialmente, a tabela de conversão de NAT no roteador de NAT é a seguinte:

NAT-router# show ip Nat translation
Pro Inside global      Inside local       Outside local      Outside global
--- 192.168.2.1        10.0.0.12          ---                ---
NAT-router#

Ao enviarmos um ping de Host 1, podemos observar:

Host-1# ping 177.10.1.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 177.10.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/92/96 ms
Host-1#

Vemos acima que o ping foi bem-sucedido. A tabela de NAT no roteador de NAT agora é semelhante a:

NAT-router# show ip Nat translation
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.2.2:434   10.0.0.11:434      177.10.1.3:434     177.10.1.3:434
icmp 192.168.2.2:435   10.0.0.11:435      177.10.1.3:435     177.10.1.3:435
icmp 192.168.2.2:436   10.0.0.11:436      177.10.1.3:436     177.10.1.3:436
icmp 192.168.2.2:437   10.0.0.11:437      177.10.1.3:437     177.10.1.3:437
icmp 192.168.2.2:438   10.0.0.11:438      177.10.1.3:438     177.10.1.3:438
--- 192.168.2.1        10.0.0.12          ---                ---
NAT-router#

A tabela de conversão de NAT acima agora mostra conversões adicionais que resultam da configuração de NAT dinâmico (em oposição à configuração de NAT estático).

A saída de debug a seguir mostra o que acontece no roteador de NAT.

IP: NAT enab = 1 trans = 0 flags = 0
IP: s=10.0.0.11 (Ethernet0), d=177.10.1.3, Len 100, policy match
    ICMP type=8, code=0
IP: route map Nat-loop, item 10, permit
IP: s=10.0.0.11 (Ethernet0), d=177.10.1.3 (Loopback0), Len 100, policy routed
    ICMP type=8, code=0
IP: Ethernet0 to Loopback0 10.0.1.2

!--- A saída acima mostra o pacote de solicitação de eco ICMP proveniente de
!--- Host 1 que é roteado com base em políticas na interface de loopback.


NAT: s=10.0.0.11->192.168.2.2, d=177.10.1.3 [8]
IP: s=192.168.2.2 (Ethernet0), d=177.10.1.3 (Loopback0), g=10.0.1.2, Len 100,
forward
    ICMP type=8, code=0
IP: s=192.168.2.2 (Loopback0), d=177.10.1.3 (Ethernet0), g=192.168.1.1, Len 100,
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- Após a decisão de roteamento ter sido feita pelo roteamento com base em políticas,
!--- a tradução é executada e converte o endereço IP 10.0.0.11 de Host 1
!--- em um endereço do pool "external" 192.168.2.2 conforme mostrado acima.
!--- O pacote é então encaminhado por loopback 0 e, finalmente, sai por Ethernet 0
!--- para o dispositivo da Internet.


IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2, Len 100, policy match
    ICMP type=0, code=0
IP: route map Nat-loop, item 10, permit
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2 (Loopback0), Len 100, policy routed
    ICMP type=0, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2 (Loopback0), g=10.0.1.2, Len 100,
forward
    ICMP type=0, code=0

!--- O dispositivo da Internet envia uma resposta de eco ICMP que atende à nossa
!--- diretiva, é roteada com base em diretivas e é encaminhada pela interface Loopback 0.


IP: NAT enab = 1 trans = 0 flags = 0
NAT: s=177.10.1.3, d=192.168.2.2->10.0.0.11 [8]
IP: s=177.10.1.3 (Loopback0), d=10.0.0.11 (Ethernet0), g=10.0.0.11, Len 100,
forward
    ICMP type=0, code=0

!--- O pacote é colocado no loop na interface de loopback no ponto em que
!--- a parte de destino do endereço é convertida de 192.168.2.2
!--- para 10.0.0.11 e encaminhada pela interface Ethernet 0 para o host local.

!--- A troca de ICMP é repetida para o resto dos pacotes de ICMP, alguns dos
!--- quais são mostrados a seguir.


IP: NAT enab = 1 trans = 0 flags = 0
IP: s=10.0.0.11 (Ethernet0), d=177.10.1.3, Len 100, policy match
    ICMP type=8, code=0
IP: route map Nat-loop, item 10, permit
IP: s=10.0.0.11 (Ethernet0), d=177.10.1.3 (Loopback0), Len 100, policy routed
    ICMP type=8, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
NAT: s=10.0.0.11->192.168.2.2, d=177.10.1.3 [9]
IP: s=192.168.2.2 (Ethernet0), d=177.10.1.3 (Loopback0), g=10.0.1.2, Len 100,
forward
    ICMP type=8, code=0
IP: s=192.168.2.2 (Loopback0), d=177.10.1.3 (Ethernet0), g=192.168.1.1, Len 100,
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2, Len 100, policy match
    ICMP type=0, code=0
IP: route map Nat-loop, item 10, permit
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2 (Loopback0), Len 100, policy routed
    ICMP type=0, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2 (Loopback0), g=10.0.1.2, Len 100,
forward
    ICMP type=0, code=0
IP: NAT enab = 1 trans = 0 flags = 0
NAT: s=177.10.1.3, d=192.168.2.2->10.0.0.11 [9]
IP: s=177.10.1.3 (Loopback0), d=10.0.0.11 (Ethernet0), g=10.0.0.11, Len 100,
forward
    ICMP type=0, code=0

Exemplo 2 - Diagrama de Rede e Configuração

Diagrama de Rede

nat-on-stick-b.gif

Requisitos

Queremos que determinados dispositivos por trás de dois sites (R1 e R3) se comuniquem. Os dois sites usam endereços IP não registrados. Assim, devemos converter os endereços quando eles se comunicam uns com os outros. Em nosso caso, o host 10.10.10.1 é convertido para 100.100.100.1 e o host 20.20.20.1 será convertido para 200.200.200.1. Portanto, precisamos que a conversão ocorra em ambas as direções. Para fins de contabilidade, o tráfego entre esses dois locais deve passar por R2. Para resumir, nossos requisitos são:

  • O host 10.10.10.1 por trás de R1 precisa se comunicar com o host 20.20.20.1 por trás de R3 com o uso de seus endereços globais.

  • O tráfego entre esses hosts deve ser enviado por meio de R2.

  • Neste caso, a conversão de NAT estático é necessária, como mostrado na configuração a seguir.

Configuração do Roteador de NAT

Configuração do Roteador de NAT

interface Loopback0
 ip address 4.4.4.1 255.255.255.0
 ip Nat inside

!--- Cria uma interface virtual chamada "loopback 0" e atribui um endereço IP
!--- 4.4.4.1 a ela. Também define para ela uma interface interna de NAT.

!
Interface Ethernet0/0
 ip address 1.1.1.2 255.255.255.0
 no ip redirects
 ip Nat outside
 ip policy route-map Nat

!--- Atribui o endereço IP 1.1.1.1/24 a e0/0. Desabilita os redirecionamentos para que os pacotes
!--- provenientes de R1 destinados a R3 não sejam redirecionados para R3 e
!--- vice-versa. Define a interface como uma interface externa de NAT. Atribui o
!--- mapa de rotas "Nat" usado para o roteamento com base em políticas.

!
ip Nat inside source static 10.10.10.1 200.200.200.1

!--- Cria uma tradução estática para que os pacotes recebidos na interface interna
!--- com endereço de origem 10.10.10.1 tenham esse endereço
!--- traduzido para 200.200.200.1.  Nota: Isso implica que os pacotes recebidos
!--- na interface externa com endereço de destino 200.200.200.1
!--- terão o destino traduzido para 10.10.10.1.


ip Nat outside source static 20.20.20.1 100.100.100.1

!--- Cria uma tradução estática para que os pacotes recebidos na interface externa
!--- com endereço de origem 20.20.20.1 tenham esse endereço
!--- traduzido para 100.100.100.1. Nota: Isso implica que os pacotes recebidos na
!--- na interface interna com endereço de destino 100.100.100.1
!--- terão o destino traduzido para 20.20.20.1.


ip route 10.10.10.0 255.255.255.0 1.1.1.1
ip route 20.20.20.0 255.255.255.0 1.1.1.3
ip route 100.100.100.0 255.255.255.0 1.1.1.3
!
access-list 101 permit ip host 10.10.10.1 host 100.100.100.1
route-map Nat permit 10
 match ip address 101
 set ip next-hop 4.4.4.2


Exemplo 2 - Saída dos Comandos show e debug

Nota: Alguns comandos show são aceitos pela Output Interpreter Tool, o que permite exibir uma análise da saída do comando show. Antes de usar os comandos debug, consulte Informações Importantes sobre Comandos de Depuração.

Teste Um

Conforme mostrado na configuração acima, há duas conversões de NAT estático que podem ser vistas em R2 com o comando show ip Nat translation.

Esta é a saída do comando show ip Nat translation executado no roteador de NAT:

NAT-router# show ip Nat translation
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                100.100.100.1      20.20.20.1
--- 200.200.200.1      10.10.10.1         ---                ---
R2#

Para este teste, enviamos um ping de um dispositivo (10.10.10.1) por trás de R1 com destino ao endereço global de um dispositivo (100.100.100.1) por trás de R3. A execução de debug ip Nat e debug ip packet em R2 resultou nesta saída:

IP: NAT enab = 1 trans = 0 flags = 0
IP: s=10.10.10.1 (Ethernet0/0), d=100.100.100.1, Len 100, policy match
    ICMP type=8, code=0
IP: route map Nat, item 10, permit
IP: s=10.10.10.1 (Ethernet0/0), d=100.100.100.1 (Loopback0), Len 100, policy
routed
    ICMP type=8, code=0
IP: Ethernet0/0 to Loopback0 4.4.4.2

!--- A saída acima mostra que a origem do pacote de 10.10.10.1 destinado
!--- a 100.100.100.1 chega em E0/0, a qual é definida como uma
!--- de NAT. Não há nenhum NAT que precisa ocorrer neste
!--- ponto. No entanto, o roteador também possui o roteamento com base em políticas habilitado para
!--- E0/0. A saída mostra que o pacote corresponde à política que está
!--- definida nas instruções de roteamento com base em políticas.


IP: s=10.10.10.1 (Ethernet0/0), d=100.100.100.1 (Loopback0), g=4.4.4.2, Len 100,
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- O trecho acima mostra que o pacote é roteado com base em diretivas para
!--- loopback0. Lembre-se que o loopback é definido como uma interface interna de NAT.


NAT: s=10.10.10.1->200.200.200.1, d=100.100.100.1 [26]
NAT: s=200.200.200.1, d=100.100.100.1->20.20.20.1 [26]

!--- Para a saída acima, o pacote agora chega na interface
!--- loopback0. Como essa é uma interface interna de NAT, é importante
!--- observar que, antes da tradução acima ocorrer, o roteador procurará
!--- uma rota na tabela de roteamento para o destino que, antes da
!--- tradução, ainda é 100.100.100.1.  Quando a pesquisa de rota for concluída,
!--- o roteador continuará com a tradução, conforme mostrado acima.
!--- A pesquisa de rota não é mostrada na saída de debug.


IP: s=200.200.200.1 (Loopback0), d=20.20.20.1 (Ethernet0/0), g=1.1.1.3, Len 100,
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- A saída acima mostra que o pacote traduzido resultante é encaminhado
!--- por E0/0.

Esta é a saída resultante do pacote de resposta proveniente do dispositivo por trás do roteador 3 destinado ao dispositivo por trás do roteador 1:

NAT: s=20.20.20.1->100.100.100.1, d=200.200.200.1 [26]
NAT: s=100.100.100.1, d=200.200.200.1->10.10.10.1 [26]

!--- O pacote de retorno chega na interface e0/0 que é uma interface externa
!--- de NAT. Nessa direção (exterior para interior), a tradução
!--- ocorre antes do roteamento. A saída acima mostra a tradução que ocorre.


IP: s=100.100.100.1 (Ethernet0/0), d=10.10.10.1 (Ethernet0/0), Len 100, policy
rejected -- normal forwarding
    ICMP type=0, code=0
IP: s=100.100.100.1 (Ethernet0/0), d=10.10.10.1 (Ethernet0/0), g=1.1.1.1,
Len 100, forward
    ICMP type=0, code=0

!--- A interface E0/0 ainda possui o roteamento com base em políticas habilitado, assim o pacote
!--- é verificado em relação à política, conforme mostrado acima.  O pacote não atende à
!--- política e é encaminhado normalmente.


Resumo

Esse documento demonstrou como o uso do NAT e do roteamento baseado em políticas pode ser usado para criar um cenário de "NAT on a stick". É importante ter em mente que esta configuração pode reduzir o desempenho do roteador de NAT porque os pacotes podem ser chaveados pelo roteador.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 6505