IP : Serviços de endereçamento IP

Exemplo de Configuração Usando o Comando ip nat outside source list

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (24 Janeiro 2006) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configurações
Verificação
Troubleshooting
Resumo
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta um exemplo de configuração com o comando ip nat outside source list e inclui uma breve descrição do que acontece com o pacote IP durante o processo de NAT. Este comando pode ser usado para converter o endereço de origem dos pacotes IP que trafegam do exterior da rede para o interior. Essa ação converte o endereço de destino dos pacotes IP que trafegam na direção oposta — do interior para o exterior da rede. Esse comando é útil em situações como redes sobrepostas, em que os endereços internos da rede compartilham endereços com a rede externa. Vamos considerar o diagrama de rede como um exemplo.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas. No entanto, as informações neste documento são baseadas nestas versões de hardware e software:

  • Cisco 2500 Series Routers

  • Cisco IOS® Software Release 12.2(24a) em execução em todos os roteadores

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documentos, consulte as Convenções de Dicas Técnicas da Cisco.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Para obter informações adicionais sobre os comandos usados neste documento, use a Command Lookup Tool (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

1a.gif

Quando um ping é originado da interface Loopback0 do Roteador 2514W (172.16.88.1) para a interface Loopback0 do Roteador 2501E Loopback0 (171.68.1.1), o seguinte ocorre:

O Roteador 2514W encaminha os pacotes para o Roteador 2514X porque ele está configurado com uma rota padrão. Na interface externa do Roteador 2514X, o pacote possui um endereço de origem (SA) 172.16.89.32 e um endereço de destino (DA) 171.68.1.1. Como o SA é permitido na lista de acesso 1 usada pelo comando ip nat outside source list, ele é convertido para um endereço do pool de NAT Net171. Observe que o comando ip nat outside source list faz referência ao pool de NAT "Net171". Nesse caso, o endereço é convertido para 171.68.16.10, o primeiro endereço disponível no pool de NAT. Após a conversão, o Roteador 2514X procura o destino na tabela de roteamento e encaminha o pacote. O Roteador 2501E vê o pacote em sua interface de entrada com SA 171.68.16.10 e DA 171.68.1.1. Ele responde com o envio de uma resposta de eco de Internet Control Message Protocol (ICMP) para 171.68.16.5. Se ele não possuir uma rota, ele descartará o pacote. Nesse caso, ele possui uma rota (padrão) e envia um pacote para o Roteador 2514X usando um SA 171.68.1.1 e um DA 171.68.16.10. O Roteador 2514X detecta o pacote em sua interface interna e verifica se há uma rota para o endereço 171.68.16.10. Caso não haja uma, ele responderá com uma resposta de inatingível de ICMP. Neste caso, ele possui uma rota para 171.68.16.10 devido à opção add-route do comando ip nat outside source, a qual adiciona uma rota de host baseada na conversão entre o endereço global externo e o endereço local externo. Assim, ele converte o pacote novamente para o endereço 172.16.88.1 e roteia o pacote para sua interface externa.

Configurações

Roteador 2514W

hostname 2514W
!

!--- Saída suprimida.

interface Loopback0
 ip address 172.16.88.1 255.255.255.0
!

!--- Saída suprimida.

interface Serial0
 ip address 172.16.191.254 255.255.255.252
 no ip mroute-cache
!

!--- Saída suprimida.

ip classless
ip route 0.0.0.0 0.0.0.0 172.16.191.253

!--- Rota padrão para encaminhar pacotes para 2514X.


!

!--- Saída suprimida.

Roteador 2514X

hostname 2514X
!

!--- Saída suprimida.

!
interface Ethernet1
 ip address 171.68.192.202 255.255.255.0
 ip nat inside
 no ip mroute-cache
 no ip route-cache
!

!--- Saída suprimida.

interface Serial1
 ip address 172.16.191.253 255.255.255.252
 ip nat outside
 no ip mroute-cache
 no ip route-cache
 clockrate 2000000
!
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0

!--- Pool de NAT que define os endereços locais externos que serão usados na tradução.

!
ip nat outside source list 1 pool Net171 add-route

!--- Configura a tradução para endereços globais externos
!--- com o pool de NAT.


ip classless
ip route 172.16.88.0 255.255.255.0 172.16.191.254
ip route 171.68.1.0 255.255.255.0 171.68.192.201

!--- Rotas estáticas para alcançar as interfaces de loopback
!--- em 2514W e 2501E.


access-list 1 permit 172.16.88.0 0.0.0.255

!--- Lista de acesso que define os endereços globais externos que serão traduzidos.


!

!--- Saída suprimida.

!

Roteador 2501E

hostname 2501E
!

!--- Saída suprimida.

interface Loopback0
 ip address 171.68.1.1 255.255.255.0
!
interface Ethernet0
 ip address 171.68.192.201 255.255.255.0
!

!--- Saída suprimida.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.192.202

!--- Rota padrão para encaminhar pacotes para 2514X.


!

!--- Saída suprimida.

Verificação

Esta seção fornece informações que você pode usar para confirmar se a sua configuração funciona corretamente.

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

O comando show ip nat translations pode ser usado para verificar as entradas de conversão, conforme mostrado na saída a seguir.

2514X# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 171.68.1.1          171.68.1.1         171.68.16.10       172.16.88.1
--- ---                 ---                171.68.16.10       172.16.88.1

2514X#

A saída acima mostra que o endereço global externo 172.16.88.1, o qual é o endereço da interface Loopback0 do Roteador 2514W, é convertido para o endereço local externo 171.68.16.10.

Você pode usar o comando show ip route para verificar as entradas da tabela de roteamento conforme mostrado:

2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       171.68.192.0/24 is directly connected, Ethernet1
S       171.68.1.0/24 [1/0] via 171.68.192.201
S       171.68.16.10/32 [1/0] via 172.16.88.1
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S       172.16.88.0/24 [1/0] via 172.16.191.254
C       172.16.191.252/30 is directly connected, Serial1
2514X#

A saída mostra uma rota /32 para o endereço local externo 171.68.16.10, o qual é criado devido à opção add-route do comando ip nat outside source. Essa rota é usada para rotear e converter pacotes que trafegam do interior para o exterior da rede.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Esta saída é o resultado da execução dos comandos debug ip packet e debug ip nat no Roteador 2514X enquanto um ping do endereço da interface Loopback0 do Roteador 2514W (172.16.188.1) é enviado para o endereço da interface Loopback0 do Roteador 2501E (171.68.1.1):

*Mar  1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95]

!--- O endereço de origem do primeiro pacote que chega na
!--- interface externa é traduzido primeiro.


*Mar  1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via
RIB
*Mar  1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len
100, forward

!--- O pacote de solicitação de eco ICMP com o endereço de origem traduzido
!--- é roteado e encaminhado na interface interna.


*Mar  1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via
RIB

!--- O pacote de resposta de eco ICMP que chega na interface interna
!--- é roteado primeiro com base no endereço de destino.


*Mar  1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95]

!--- O endereço de destino no pacote é então traduzido.



*Mar  1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1
00, forward

!--- O pacote de solicitação de eco ICMP com o endereço de destino
!--- traduzido é encaminhado para a interface externa.


O procedimento acima é repetido para cada pacote recebido na interface externa.

Resumo

A principal diferença entre o uso do comando ip nat outside source list (NAT dinâmico) em vez do comando ip nat outside source static (NAT estático) é que não haverá entradas na tabela de conversões até que o roteador (configurado para NAT) verifique os critérios de conversão do pacote. No exemplo acima, o pacote com SA 172.16.88.1 (proveniente da interface externa do Roteador 2514X) atende à lista de acesso 1, o critério usado pelo comando ip nat outside source list. Por isso, os pacotes devem ser provenientes da rede externa antes que os pacotes da rede interna possam se comunicar com a interface Loopback0 do Roteador 2514W.

Dois aspectos importantes devem ser observados neste exemplo.

Primeiro, quando o pacote trafega do lado de fora para o lado de dentro, a conversão é executada e, em seguida, a tabela de roteamento é verificada com relação ao destino. Quando o pacote é transportado do interior para o exterior, a tabela de roteamento é examinada primeiro em busca do destino e, em seguida, a conversão ocorrerá.

Segundo, é importante observar qual parte do pacote IP é convertida quando cada um dos comandos acima é usado. A tabela a seguir contém uma diretriz:

Command

Ação

ip nat outside source list

  • Converte a origem dos pacotes IP que trafegam de fora para dentro

  • Converte o destino dos pacotes IP que trafegam de dentro para fora

ip nat inside source list

  • Converte a origem dos pacotes IP que trafegam de dentro para fora

  • Converte o destino dos pacotes IP que trafegam de fora para dentro

O que as orientações acima indicam é que há mais do que uma maneira de converter um pacote. Dependendo das suas necessidades específicas, você deverá determinar como definir as interfaces de NAT (interna ou externa) e quais rotas a tabela de roteamento deve conter antes ou após a conversão. Lembre-se de que a parte do pacote a ser traduzida depende da direção na qual o pacote trafega, e de como o NAT está configurado.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 13770