IP : Serviços de endereçamento IP

Configurando o Network Address Translation: Introdução

22 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (16 Março 2006) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Etapas de Início Rápido para Configurar e Implementar o NAT
Definindo Interfaces Internas e Externas de NAT
Exemplo: Permitindo que Usuários Internos Acessem a Internet
     Configurando o NAT para Permitir que Usuários Internos Acessem a Internet
     Configurando o NAT para Permitir que Usuários Internos Acessem a Internet Usando Sobrecarga
Exemplo: Permitindo o Acesso a Dispositivos Internos pela Internet
     Configurando o NAT para Permitir o Acesso a Dispositivos Internos pela Internet
Exemplo: Redirecionando o Tráfego de TCP para Outra Porta ou Endereço TCP
     Configurando o NAT para Redirecionar o Tráfego de TCP para Outra Porta ou Endereço TCP
Exemplo: Usando o NAT Durante uma Conversão de Rede
     Configurando o NAT para Usar Durante uma Transição de Rede
Exemplo: Usando o NAT em Redes Sobrepostas
Verificando Operação de NAT
Conclusão
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento explica como configurar o Network Address Translation (NAT) em um roteador Cisco para usar em cenários comuns de rede. O público alvo deste documento são os usuários NAT iniciantes.

Observação: Neste documento, uma referência à Internet ou a um dispositivo da Internet significa um dispositivo de qualquer rede externa.

Pré-requisitos

Requisitos

Este documento exige um conhecimento básico dos termos usados em relação ao NAT. Algumas das definições podem ser encontradas em NAT: Definições Locais e Globais.

Componentes Usados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

  • Cisco 2500 Series Routers

  • Cisco IOS® Software Release 12.2 (10b)

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Caso esteja trabalhando em uma rede ativa, certifique-se de ter compreendido o possível impacto dos comandos antes de utilizá-los.

Convenções

Para obter mais informações sobre convenções em documentos, consulte Convenções de dicas técnicas da Cisco.

Etapas de Início Rápido para Configurar e Implementar o NAT

Ao configurar o NAT, muitas vezes será difícil saber onde começar, especialmete se você for iniciante em NAT. Estas etapas o orientam na definição do que você deseja que o NAT faça e de como configurá-lo:

  1. Defina as interfaces interna e externa de NAT.

    • Os usuários existem fora das interfaces múltiplas?

    • Há várias interfaces conectadas à Internet?

  2. Defina o que você está tentando executar com o NAT.

  3. Configure o NAT para realizar o que definiu acima. Com base no que foi definido na etapa 2, você precisa determinar qual dos recursos a seguir deve ser usado:

    • NAT Estático

    • NAT Dinâmico

    • Sobrecarga

    • Qualquer combinação dos recursos anteriores

  4. Verifique a operação NAT.

Cada um dos seguintes exemplos de NAT orienta você pelas etapas de 1 a 3 que compõem as Etapas de Início Rápido acima. Estes exemplos descrevem alguns cenários comuns em que a Cisco recomenda implementar o NAT.

Definindo Interfaces Internas e Externas de NAT

A primeira etapa na implantação do NAT é definir o NAT nas interfaces internas e externas. Talvez você considere mais fácil definir sua rede interna como “dentro” e a rede externa como “fora”. Entretanto, os termos interno e externo também estão sujeitos à arbitragem. A figura a seguir mostra um exemplo disto.

12a.gif

Exemplo: Permitindo que Usuários Internos Acessem a Internet

Você pode desejar permitir que usuários internos acessem a Internet, mas você pode não ter endereços válidos suficientes para acomodar todos eles. Se todas as comunicações com dispositivos na Internet se originarem de dispositivos internos, você precisa de um único endereço válido ou de um pool de endereços válidos.

A figura a seguir mostra um diagrama de rede simples com as interfaces do roteador definidas como internas e externas:

12b.gif

Neste exemplo, o NAT deve autorizar certos dispositivos internos (os 31 primeiros de cada sub-rede) a iniciar comunicação com os dispositivos externos convertendo seus endereços inválidos em um endereço ou pool de endereços válidos. O pool foi definido como o intervalo de endereços de 172.16.10.1 a 172.16.10.63.

Agora, você está pronto para configurar o NAT. Para realizar o que está definido anteriormente, use o NAT dinâmico. Com ele, a tabela de conversão no roteador inicialmente está vazia e é preenchida depois que o tráfego que precisa ser convertido passa pelo roteador. (Em oposição ao NAT estático, em que uma conversão é estaticamente configurada e inserida na tabela de conversão sem a necessidade de nenhum tráfego.)

Neste exemplo, podemos configurar a NAT para converter cada um dos dispositivos internos em um endereço válido exclusivo ou para converter cada um dos dispositivos internos no mesmo endereço válido. Este segundo método é conhecido como sobrecarga. Segue um exemplo de como configurar cada método.

Configurando o NAT para Permitir que Usuários Internos Acessem a Internet

Roteador NAT

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

                     !--- Define Ethernet 0 com um endereço IP e como uma interface interna do NAT.
                  

interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

                     !--- Define Ethernet 1 com um endereço IP e como uma interface interna do NAT.
                  

interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

                     !--- Define serial 0 com um endereço IP e como uma interface externa do NAT.
                  

ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
 !

                     !--- Define um pool NAT denominado no-overload com um intervalo de endereços
!--- 172.16.10.1 - 172.16.10.63.
                  

ip nat inside source list 7 pool no-overload
 !
 !

                     !--- Indica que quaisquer pacotes recebidos na interface interna que
!--- sejam permitidos pela lista de acesso 7
!--- terão o endereço de origem convertido em um endereço fora do
!--- pool NAT "no-overload".
                  

access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

                     !--- A lista de acesso 7 permite pacotes com endereços de origem que variam de
!--- 10.10.10.0 até 10.10.10.31 e de 10.10.20.0 até 10.10.20.31.
                  
               

Observação: A Cisco recomenda que você não configure listas de acesso mencionadas por comandos do NAT com permit any. O uso de permit any pode faze com que o NAT consuma recursos do roteador demais, o que pode causar problemas de rede.

Observe na configuração acima que somente os primeiros 32 endereços das sub-redes 10.10.10.0 e 10.10.20.0 são permitidos por access-list 7. Portanto, somente estes endereços de origem são traduzidos. É possível que haja outros dispositivos com outros endereço na rede interna, mas eles não serão traduzidos.

A etapa final é verificar se o NAT está operando conforme pretendido.

Configurando o NAT para Permitir que Usuários Internos Acessem a Internet Usando Sobrecarga

Roteador NAT

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

                     !--- Define Ethernet 0 com um endereço IP e como uma interface interna do NAT.
                  

interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

                     !--- Define Ethernet 1 com um endereço IP e como uma interface interna do NAT.
                  

interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

                     !--- Define serial 0 com um endereço IP e como uma interface externa do NAT.
                  

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
 !

                     !--- Define um pool NAT denominado ovrld com um intervalo de endereço IP
!--- único, 172.16.10.1.
                  

ip nat inside source list 7 pool ovrld overload
 !
 !
 !
 !

                     !--- Indica que quaisquer pacotes recebidos na interface interna que
!--- sejam permitidos pela lista de acesso 7 terão o endereço de origem
!--- converido em um endereço fora do pool NAT denominado ovrld.
!--- As conversões serão sobrecarregadas, permitindo que vários dispositivos internos
!--- sejam convertidos no mesmo endereço IP válido.

                  
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

                     !--- A lista de acesso 7 permite pacotes com endereços de origem que variam de
!--- 10.10.10.0 até 10.10.10.31 e de 10.10.20.0 até 10.10.20.31.
                  
               

Observe na segunda configuração acima, o pool NAT "ovrld"only tem uma faixa de um endereço. A palavra-chave sobrecarga usada no comando ip nat inside source list 7 pool ovrld overload permite que o NAT converta vários dispositivos internos no endereço único no conjunto.

Outra variação desse comando é o ip nat inside source list 7 interface serial 0 overload, que configura NAT para sobrecarga no endereço que é atribuído à interface serial 0.

Quando a sobrecarga estiver configurada, o roteador manterá informações suficientes de protocolos de nível superior (por exemplo, números de porta TCP ou UDP) para converter o endereço global novamente no endereço local correto. Para obter definições de endereço global e local, consulte NAT: Definições Locais e Globais.

A etapa final é verificar se o NAT está operando conforme pretendido.

Exemplo: Permitindo o Acesso a Dispositivos Internos pela Internet

Talvez os dispositivos internos precisem trocar informações com dispositivos na Internet; nesse caso, a comunicação, como um e-mail, é iniciada nos dispositivos na Internet. É comum para os dispositivos na Internet enviarem email para um servidor de emails que reside na rede interna.

12c.gif

Configurando o NAT para Permitir o Acesso a Dispositivos Internos pela Internet

Neste exemplo, primeiro definimos as interfaces internas e externas do NAT, como mostrado no diagrama de rede anterior.

Em seguida, definimos que desejamos que os usuários na parte interna possam iniciar a comunicação com a parte externa. Os dispositivos na parte externa devem ser capazes de iniciar a comunicação apenas com o servidor de emails na parte interna.

A terceira etapa é configurar o NAT. Para realizar o que definimos, podemos configurar o NAT estático e dinâmico juntos. Para obter mais informações sobre como configurar este exemplo, consulte Configurando o NAT Estático e Dinâmico Simultaneamente.

A etapa final é verificar se o NAT está operando conforme pretendido.

Exemplo: Redirecionando o Tráfego de TCP para Outra Porta ou Endereço TCP

Possuir um servidor da Web na rede interna é outro exemplo de quando pode ser necessário para os dispositivos na internet iniciarem a comunicação com dispositivos internos. Em alguns casos, o servidor interno da Web pode ser configurado para ouvir um tráfego da Web em uma porta TCP que não seja a porta 80. Por exemplo, o servidor da Web interno pode ser configurado para ouvir na porta TCP 8080. Neste caso, você pode usar o NAT para redirecionar o tráfego destinado à porta TCP 80 até a porta TCP 8080.

12d.gif

Depois que você definir as interfaces conforme mostrado no diagrama de rede anterior, poderá decidir se deseja que o NAT redirecione pacotes da parte externa destinados para 172.16.10.8:80 a 172.16.10.8:8080. É possível usar um comando static nat para converter o número da porta TCP para obter isto. Um exemplo de configuração é mostrado a seguir.

Configurando o NAT para Redirecionar o Tráfego de TCP para Outra Porta ou Endereço TCP

Roteador NAT

interface ethernet 0
 ip address 172.16.10.1 255.255.255.0
 ip nat inside

                     !--- Define Ethernet 0 com um endereço IP e como uma interface interna do NAT.
                  

interface serial 0
 ip address 200.200.200.5 255.255.255.252
 ip nat outside

                     !--- Define serial 0 com um endereço IP e como uma interface externa do NAT.
                  

ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

                     !--- Comando NAT estático que indica qualquer pacote recebido na interface
!--- interna com um endereço IP de origem 172.16.10.8:8080 será
!--- convertido em 172.16.10.8:80. 
                  
               

Observe que a descrição de configuração para o comando NAT estático indica qualquer pacote recebido na interface interna com um endereço de origem 172.16.10.8:8080 será convertido em 172.16.10.8:80. Isto também indica que qualquer pacote recebido na interface externa com um endereço de destino 172.16.10.8:80 terá o destino convertido em 172.16.10.8:8080.

A etapa final é verificar se o NAT está operando conforme pretendido.

Exemplo: Usando o NAT Durante uma Conversão de Rede

A implantação do NAT é útil quando você precisa reendereçar dispositivos na rede ou quando você está substituindo um dispositivo por outro. Por exemplo, se todos os dispositivos da rede usarem um determinado servidor e esse servidor precisar ser substituído por outro com um novo endereço IP, a reconfiguração de todos os dispositivos de rede que utilizarão o novo endereço de servidor exigirá algum tempo. Entretanto, você pode usar o NAT para configuar os dispositivos usando o endereço antigo para converter seus pacotes para se comunicar com o novo servidor.

12e.gif

Depois que tiver definido as interfaces do NAT conforme mostrado anteriormente, você poderá decidir que o NAT deva permitir que os pacotes da parte externa destinados para o endereço de servidor antigo (172.16.10.8) sejam convertidos e enviados ao novo endereço de servidor. Observe que o novo servidor está em outra LAN e os dispositivos nessa LAN ou outros dispositivos acessáveis por meio dessa LAN (dispositivos na parte interna da rede) devem ser configurados para usar o endereço IP dos novos servidores, se possível.

É possível utilizar o NAT estático para realizar o que você necessita. Um exemplo de configuração é mostrado a seguir.

Configurando o NAT para Usar Durante uma Transição de Rede

Roteador NAT

interface ethernet 0
 ip address 172.16.10.1 255.255.255.0
 ip nat outside

                     !--- Define Ethernet 0 com um endereço IP e como uma interface externa do NAT.
                  

interface ethernet 1
 ip address 172.16.50.1 255.255.255.0
 ip nat inside

                     !--- Define Ethernet 1 com um endereço IP e como uma interface interna do NAT.
                  

interface serial 0
 ip address 200.200.200.5 255.255.255.252

                     !--- Define serial 0 com um endereço IP. Esta interface não está
!--- participando no NAT.
                  

ip nat inside source static 172.16.50.8 172.16.10.8

                     !--- Indica que qualquer pacote recebido na interface interna com um
!--- endereço IP de origem 172.16.50.8 seja convertido em 172.16.10.8.
                  
               

Observe que o comando do NAT de origem externa neste exemplo também indica que os pacotes recebidos na interface externa com um endereço de destino 172.16.10.8 terão o endereço de destino convertido em 172.16.50.8.

A etapa final é verificar se o NAT está operando conforme pretendido.

Exemplo: Usando o NAT em Redes Sobrepostas

A sobreposição de redes ocorre quando você atribui endereços IP a dispositivos internos que já estão sendo usados por outros dispositivos na Internet. Redes sobrepostas também ocorrem quando duas empresas, ambas usando endereços IP de RFC 1918 leavingcisco.com em suas redes, são mescladas. Essas duas redes precisam se comunicar, preferencialmente, sem que seja necessário endereçar novamente todos os seus dispositivos. Consulte Usando o NAT em Redes Sobrepostas para obter mais informações sobre como configurar o NAT para esta finalidade.

Verificando Operação de NAT

Depois de ter configurado o NAT, verifique se ele está funcionando conforme esperado. Você pode fazer isso de diversas formas: com um analisador de rede, comandos show ou comandos debug. Para obter um exemplo detalhado da verificação do NAT, consulte Verificando Operação do NAT e Solucionando Problemas Básicos do NAT.

Conclusão

Os exemplos neste documento demonstram etapas de início rápido que podem ajudá-lo a configurar e implantar o NAT. Essas etapas de início rápido incluem:

  1. Definir interfaces internas e externas de NAT.

  2. Definir o que você está tentando executar com o NAT.

  3. Configurar o NAT para realizar o que você definiu na Etapa 2.

  4. Verificando a operação de NAT.

Em cada um dos exemplos acima, foram utilizadas várias formas do comando ip nat inside. Também é possível usar o comando ip nat outside para realizar os mesmos objetivos, tendo em mente a ordem de operações do NAT. Para obter Exemplos de Configurações usando os comandos ip nat outside, consulte Exemplo de Configuração Usando o Comando ip nat outside source list e Exemplo de Configuração Usando o Comando ip nat outside source static .

Os exemplos anteriores também demonstraram o seguinte:

Comando

Ação

                  ip nat inside source
               
  • Traduz a origem dos pacotes IP que seguem de dentro para fora.

  • Converte o destino dos pacotes IP que viajam de fora para dentro.

                  ip nat outside source
               
  • Converte a origem dos pacotes de IP que se deslocam de fora para dentro.

  • Converte o destino dos pacotes IP que estão trafegando de dentro para fora.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13772