IP : Serviços de endereçamento IP

Configurando o NAT Estático e o NAT Dinâmico Simultaneamente

22 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (28 Julho 2013) | Inglês (24 Janeiro 2006) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Configurando o NAT
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Em algumas situações, talvez você ache necessário configurar os comandos Network Address Translation (NAT) estático e dinâmico em um roteador Cisco. Este documento explica como fazer isso e fornece um exemplo de cenário.

Pré-requisitos

Requisitos

O conhecimento de operações e conceitos NAT básicos é útil.

Para obter informações adicionais, consulte a seção Informações Relacionadas deste documento.

Componentes Usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • Cisco 3600 Series Routers

  • Cisco IOS® Software Release 12.3(3)

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

Configurando o NAT

Com o NAT dinâmico, as traduções não existem na tabela de NAT até que o roteador receba o tráfego que necessite de tradução. As traduções dinâmicas possuem um tempo de expiração e após esse período elas são removidas da tabela de tradução.

Com o NAT estático, haverá traduções na tabela de tradução NAT assim que você configurar os comandos NAT estáticos. Essas traduções permanecem na tabela até que os comandos NAT sejam excluídos.

O diagrama de rede a seguir é um exemplo:

9a.gif

Esses comandos são configurados no roteador NAT mostrado acima:

Roteador NAT

version 12.3

ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0


                     
!--- Consulte 
                           ip nat pool
                         para obter mais detalhes sobre o comando.
                  .

ip nat inside source list 7 pool test


                     !--- Consulte 
                           ip nat inside source
                         para obter mais detalhes sobre o comando.
                  

ip nat inside source static 10.10.10.1 172.16.131.1

 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside

 interface s 0

 ip address 172.16.130.2 255.255.255.0

 ip nat outside

ip route 192.168.1.0 255.255.255.0 172.16.130.1

 access-list 7 permit 10.10.10.0 0.0.0.255

A configuração no dispositivo ExternoA é:

Roteador ExternoA

version 12.3
hostname outsideA

!
!
!
interface Serial1/0

ip address 172.16.130.1 255.255.255.0

serial restart-delay 0

clockrate 64000

!

interface FastEthernet2/0

ip address 192.168.1.1 255.255.255.0

speed auto

half-duplex

ip route 172.16.131.0 255.255.255.0 172.16.130.2

A configuração no dispositivo InternoA é:

Roteador InternoA

version 12.3

!
interface Ethernet1/0
 ip address 10.10.10.1 255.255.255.0
 half-duplex
!
ip route 0.0.0.0 0.0.0.0 10.10.10.254
!
!

Usando o comando show ip nat translations, você pode visualizar o conteúdo da tabela de tradução:

NATrouter#show ip nat translations
Pro Inside global    Inside local    Outside local    Outside global
--- 172.16.131.1     10.10.10.1      ---              ---

Observe que somente a tradução estática está listada na tabela de tradução. Esta entrada converte o endereço global interno de volta para o endereço local interno, o que significa que os dispositivos na nuvem externo poderão enviar pacotes ao endereço global 172.16.131.1 e alcançar o dispositivo na nuvem interna que tem o endereço local 10.10.10.1.

O mesmo é mostrado a seguir:

outsideA#ping 172.16.131.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.131.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms



NATrouter#debug ip nat

18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1005]
18:12:06: NAT: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1005]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1006]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1006]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1007]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1007]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1008]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1008]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1009]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1009]

Nenhuma outra tradução é gerada ou inserida na tabela de tradução até que o roteador receba um pacote em sua interface interna com um endereço de origem permitido pela lista de controle de acesso (ACL) 7.

Entretanto, como ainda não foi inserida nenhuma tradução dinâmica, os dispositivos externos não podem alcançar nenhum dos dispositivos internos (além de 10.10.10.1), mesmo se enviarem pacotes a um endereço global (172.16.131.2 até 172.16.131.10). Quando o roteador recebe um pacote destinado a um desses endereços globais, ele verifica se há uma tradução na tabela de tradução. Se não houver nenhum, ele tentará rotear o pacote. Este comportamento de NAT será discutido posteriormente em Configuração de Exemplo Usando o Comando ip nat outside source list e Configuração de Exemplo Usando o Comando ip nat outside source static.

Na topologia acima, se a comunicação entre os dispositivos de rede internos e externos for originada apenas pelos dispositivos internos, a tradução dinâmica será realizada corretamente. Mas e se um servidor de e-mail for adicionado à rede interna que precisa receber pacotes de origem externa? Você precisará configurar uma entrada NAT estática para que os servidores de e-mail na parte externa possam originar a comunicação com o servidor de e-mail na parte interna. Se, no exemplo acima, o servidor de e-mail for o dispositivo com o endereço local de 10.10.10.1, já haverá uma tradução estática.

No entanto, nos casos em que você não tem muitos endereços globais para poupar e precisa configurar estaticamente um único dispositivo para NAT, use uma configuração como a que é mostrada abaixo:

Roteador NAT

ip nat inside source list 7 interface serial 0 overload


ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25

                     !--- Consulte 
                           ip nat inside source
                         para obter mais detalhes sobre o comando.
                  

 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside

                     !--- Para obter mais detalhes sobre o comando ip nat inside|outside,
!--- consulte 
                           ip nat inside
                        .
                  

 interface s 0

ip address 172.16.130.2 255.255.255.0

ip nat outside

 access-list 7 permit 10.10.10.0 0.0.0.255

 ip route 0.0.0.0 0.0.0.0 172.16.130.1

No exemplo acima, o NAT é configurado para sobrecarga em endereços IP de Serial 0. Isso significa que mais de um endereço local interno pode ser traduzido dinamicamente para o mesmo endereço global, nesse caso, o endereço atribuído ao Serial 0. Além disso, o NAT está configurado estaticamente para que pacotes com origem no endereço local 10.10.10.1 com porta TCP 25 (SMTP) sejam convertidos na porta TCP 25 do endereço IP de Serial 0. Já que essa é uma entrada de NAT estático, servidores de e-mail externos podem originar pacotes SMTP (porta TCP 25) para o endereço global 172.16.131.254.

Observação: Embora seja possível usar o mesmo endereço global para o NAT Dinâmico e para o NAT Estático, sempre que possível é melhor utilizar endereços globais diferentes.

A tabela de tradução NAT contém a seguinte entrada:

NATRouter#show ip nat translations

   Pro Inside global    Inside local   Outside local Outside global

   tcp 172.16.130.2:25  10.10.10.1:25      ---          --- 

A saída debug ip nat mostra a tradução NAT quando o dispositivo ExternoA acessa o InternoA:

04:21:16: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1    [9919]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [0]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9922]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9923]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [1]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [2]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [3]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9927]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [4]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [5]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9931]

   04:21:17: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9934]

   04:21:17: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9935]

   04:21:17: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [6]

Em resumo, o NAT dinâmico requer pacotes para serem comutados pelo roteador NAT para gerar traduções NAT na tabela de tradução. Se você usar o comando ip nat inside , esses pacotes deverão ser originados internamente. Se você usar o comando ip nat outside, esses pacotes deverão ser originados externamente.

NAT estático não exige que os pacotes sejam comutados por meio do roteador e as traduções são inseridas estaticamente na tabela de tradução.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13778