IP : Serviços de endereçamento IP

Perguntas Mais Freqüentes sobre NAT

23 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Abril 2013) | Feedback


Perguntas

Introdução
O que é NAT?
Quais são as principais diferenças entre a implementação do NAT no Cisco IOS NAT® e no Firewall do Cisco PIX ?
Em quais plataformas de roteamento da Cisco o NAT do IOS Cisco está disponível? Como posso adquiri-la?
O NAT ocorre antes ou depois do roteamento?
Como a consciência de roteamento reconhece os endereços IP criados por meio do NAT?
Quantas sessões simultâneas do NAT são suportadas no NAT do Cisco IOS?
Que tipo de desempenho de roteamento posso esperar quando uso o NAT do Cisco IOS?
O NAT do Cisco IOS pode ser aplicado a sub-interfaces?
O NAT do Cisco IOS pode ser usado com HSRP para fornecer links redundantes para um ISP?
O NAT do Cisco IOS suporta traduções de entrada em um tronco serial executando Frame Relay e não suporta traduções de saída na Ethernet ?
Um único roteador habilitado para NAT permite que alguns usuários utilizem NAT e permite que outros usuários na mesma interface Ethernet continuem com seus endereços IP próprios?
O que é PAT ou sobrecarga NAT?
Quando eu configuro para PAT (sobrecarga NAT), qual é o número máximo de traduções que pode fazer para cada endereço IP global interno?
Como funciona o PAT?
Qual é o número máximo de pools de IP configuráveis do NAT (usando o ip nat pool <name> comando)?
O que é sobreposição de endereço IP conforme discutido no contexto do NAT?
É possível construir uma configuração com ambas as traduções estáticas e dinâmicas do Nat?
O IOS pode oferecer suporte a várias tabelas NAT externas?
Por que preciso especificar uma máscara de sub-rede quando configuro um pool de endereços NAT?
Posso alocar endereços IP na sub-rede da interface externa do roteador do NAT para um pool dinâmico do NAT?
Um roteador do NAT manipula adequadamente os redirecionamentos de ICMP?
O NAT do Cisco suporta o tráfego de todos os aplicativos?
Por que o NAT do Cisco IOS não fornece suporte ao tráfego SNMP?
Como os ARPs são manipulados para endereços IP gerados pelo NAT?
O NAT do Cisco IOS fornece suporte a consultas DNS?
O NAT do Cisco IOS fornece suporte a ACLs que permitem alguns ou todos os pacotes?
Por que o Active FTP funciona com estático/estendido (encaminhamento de porta), mas não funciona com PAT?
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento responde a perguntas freqüentes sobre o Cisco IOS® Network Address Translation (NAT).

Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

P. O que é NAT?

NAT quer dizer tradução de endereço de rede. O NAT foi desenhado para simplificação e conservação de endereço IP. Ele permite que inter-redes IP privadas que usam endereços IP não-registrados se conectem à Internet. O NAT opera em um roteador, normalmente conectando duas redes, e traduz os endereços privados (não exclusivos globalmente) da rede interna em endereços legais antes dos pacotes serem encaminhados em outra rede. Como parte dessa funcionalidade, o NAT pode ser configurado para anunciar apenas um ou alguns endereços da rede inteira para o mundo externo. Isso proporciona uma segurança adicional e oculta efetivamente toda a rede interna do mundo existente por trás desse endereço. O NAT tem a dupla funcionalidade de segurança e conservação de endereço, e é normalmente implementada em ambientes de acesso remoto. Consulte Como o NAT Funciona para aprender com mais detalhes como o NAT funciona.

P. Quais são as principais diferenças entre a implementação do NAT no Cisco IOS NAT® e no Firewall do Cisco PIX ?

A funcionalidade do Cisco IOS baseado em NAT não é fundamentalmente diferente da funcionalidade do NAT no firewall do PIX. As principais diferenças envolvem os diferentes tipos de tráfego suportados no NAT do Cisco IOS e a implementação de NAT no PIX. Consulte Firewalls da Série Cisco PIX 500 e Exemplos de Configurações do NAT para obter informações detalhadas sobre a configuração da funcionalidade do NAT no PIX (inclui os tipos de tráfego suportados).

P. Em quais plataformas de roteamento da Cisco o NAT do IOS Cisco está disponível? Como posso adquiri-la?

O Cisco Software Advisor (clientes registrados somente) (pesquisa por recursos) proporciona aos clientes uma ferramenta para identificar em que versão e plataforma algum recurso do IOS Cisco está disponível. Para verificar se o NAT é compatível em uma plataforma específica, vá para Software Advisor (clientes registrados somente) , selecione a opção Localizar software com os recursos de que preciso, digite as informações de produto e de software, escolha o recurso NAT e selecione a plataforma. A ferramenta então fornece o software IOS Cisco mínimo que fornece suporte ao recurso na plataforma.

R. Para finalidades históricas:

  • Quando originalmente introduzida no Cisco IOS Software Release 11.2, o NAT só estava disponível nas imagens Plus.
  • Com o Cisco IOS Software Release 11.3, o PAT está disponível em todas as imagens de IP, com NAT completo (1-1 e PAT) disponível somente nas imagens Plus.
  • Com o Cisco IOS Software Release 12.0, todas as imagens IP fornecem funcionalidade NAT completa.

Esta tabela oferece informações de suporte para o Cisco IOS e NAT.

Cisco IOS Software Release Suporte NAT em imagens base Suporte NAT em imagens Plus Suporte de IP fácil Plataformas de Hardware Compatíveis
11.2 Nenhum NAT Nenhum Cisco 1000, 2500, 4x00, AS5200, 7200, RSP7000, 7500
11.2P Nenhum NAT Nenhum Cisco 1000, 1600, 2500, 3620, 3640, 4x00, AS5200, AS5300, Cat5000 RSM, 7200, RSP7000, 7500
11.3 Somente PAT NAT Fase 1 Cisco 1000, 1600, 2500, 3620, 3640, 4x00, AS5200, 7200, RSP7000, 7500
11.3T Somente PAT NAT Fase 1 Cisco 1000, 1600, 2500, 2600, 3620, 3640, 4x00, AS5200, AS5300, Cat5000 RSM, 7200, RSP7000, 7500
12.0 NAT NAT Fase 1 Cisco 1600, 2500, 2600, 3620, 3640, 4000, 4500, 4700, AS5x00, Cat5000 RSM, 7200, RSP7000, 7500
12.0T NAT NAT Fase 2 Cisco 8001, 1400, 1600, 1700, 25002, 2600, 36x0,MC3810, C4x00, AS5x00,Cat5000 RSM, Cat5000 RSFC, 7100, 7200, uBR9x0, uBR72003, RSP7000, 7500
12.1 NAT NAT Fase 2 Cisco 8001, 1400, 1600, 1700, 25002, 2600, 36x0,MC3810, C4x00, AS5x00,Cat5000 RSM, Cat5000 RSFC, 7100, 7200, ubr9x0, uBR72003, RSP7000, 7500. RPM
12.1T NAT NAT Fase 2 Cisco 8001, 1400, 16004, 17002,4, 2500, 2600, 36x0,MC3810, C4x00, AS5x00,Cat5000 RSM, Cat5000 RSFC, 7100, 7200, ubr9x0, uBR72003, RSP7000, 7500. RPM
12.2 NAT NAT Fase2 Cisco1400, 1601-1604, 1601R-1605R,1720,1750,2501-2525,2610XM-2611XM,2620-2621, 2620XM-2621XM, 2650XM-2651XM, 2650-2651, 3620,3640,3640A, 3660, 4500,7100, 7200,7500,800,8850RPM-PR,AS5300, AS5400,CAT4500-AGM, CAT5000-RSM, ICS7700,MC3810,SLT,UBR910, 920
12.2T NAT NAT Fase2 Cisco 1710, 1721,1751,1751-V,1760,1720,1750,2501-2525,2610XM-2611XM,2620-2621, 2620XM-2621XM, 2650XM-2651XM, 2650-2651, 3620,3640,3640A, 3660, 3725,3745,6400-NPR-1, 6400-NPR-2SV,6400-NSP,7100, 7200,7400,7500,800,8850RPM-PR,AS5300, AS5350,AS5400,AS5400HPX, CAT4500-AGM, CVA 120, CAT5000-RSM, ICS7700,MC3810,SLT, SOHO76, 77, 78, UBR7200,UBR905,925.
12.3 NAT NAT Fase2 Cisco 1400, 1601-1604, 1601R-1605R,1710,1720,1721,1750,1751-V,1751,1760,2501-2525,2610XM-2611XM, 2620XM-2621XM, 2650XM-2651XM, 2650-2651,2691, 3620,3631,3640,3640A, 3660, 3725,3745,6400-NRP1, 6400-NRP-2SV, 6400- NSP, 7200,7301,7400,7500,800,8850RPM-PR,AS5300, AS5350, AS5400,AS5400HPX, AS5850- RSC,CAT4224,CAT4500-AGM, CVA120, ICS7700,MC3810,SCT, SOHO76,77,78, UBR905, 925.
12.3T NAT NAT Fase2 Cisco 1701,1710,1711, 1712,1720,1721,1751-V,1751,1760, 2610XM-2611XM, 2620XM-2621XM, 2650XM-2651XM, 2691, 28X1,3620,3631,3640,3640A, 3660, 3725,3745,6400-NRP1, 6400-NRP-2SV, 6400- NSP, 7200,7301,7400,7500,800,8850RPM-PR,AS5300, AS5350, AS5400,AS5400HPX, AS5850- RSC,CAT4224,CAT4500-AGM, CVA120, ICS7700,MC3810,SCT, SOHO78, SOHO91, 96,97, UBR905, 925, VG224.,

Observação: Essas informações são obtidas da Ferramenta de Recurso de Navegador (clientes registrados somente) .

  • Nenhuma funcionalidade NAT está disponível no uBR7200 na imagem de software do fornecedor de serviços (-p). A funcionalidade do servidor DHCP está disponível no uBR7200 na imagem de software do provedor de serviço (-p).
  • Na série 2500 a partir da versão principal 11.2 do Cisco IOS Software na imagem Enterprise plus. As imagens Enterprise não fornecem suporte para NAT.
  • Na série 2600 a partir da versão principal 12.2T do Cisco IOS Software na imagem Enterprise Base.
  • Na série 3620 a partir da versão principal 11.2P do Cisco IOS Software na imagem Enterprise. As imagens Enterprise não fornecem suporte para NAT.
  • Na série 3640 a partir da versão principal 11.3 do Cisco IOS Software na imagem Enterprise plus. As imagens Enterprise não fornecem suporte para NAT.
  • Na série 4000 a partir da versão principal 11.2 do Cisco IOS Software na imagem Enterprise plus. As imagens Enterprise não fornecem suporte para NAT.
  • Na série 4500 a partir da versão principal 11.2 do Cisco IOS Software na imagem Enterprise plus. As imagens Enterprise não fornecem suporte para NAT.
  • Na série AS5300 a partir da versão principal 11.2P do Cisco IOS Software na imagem Enterprise. O AS5800 fornece suporte para NAT. Suporte para SIP e suporte NAT para diretório NetMeeting.
  • Catalyst 5000 RSM iniciando na versão principal 11.3T do Cisco IOS Software na imagem Enterprise. Na série 7200 – o NAT é suportado a partir da versão principal 11.2 do Cisco IOS Software.
  • Na série 7500 – o NAT é suportada a partir da versão principal 11.2.
  • No Cisco 3825 e 3845 nas imagens IP Base a partir da versão 12.3T do Cisco IOS Software.
  • Na série 1600 a partir da versão 11.3 base IP do Cisco IOS Software e na série 2500 a partir da Versão 11.3 base IP do Cisco IOS Software, o NAT não é compatível.
  • 1 NAT é suportada em todas as imagens do software Cisco IOS para Cisco 800 a partir da versão 12.0(3)T do software Cisco IOS.
  • 2 NAT é suportada em todas as imagens do Cisco IOS Software para Cisco 1700 a partir da versão 12.2ZH do Cisco IOS Software.
  • 3 A funcionalidade do NAT e do servidor DHCP só estão disponíveis na plataforma uBR7200 na imagem de software Service Provider Plus (-ps) a partir da Versão 12.0(3)T do Cisco IOS Software.
  • 4 Todas as plataformas diferentes da uBR7200 exigem uma imagem J ou uma imagem O (Enterprise ou Firewall Cisco IOS Firewall respectivamente) para obter suporte para o aplicativo NetMeeting da Microsoft no NAT do Cisco IOS.

P. O NAT ocorre antes ou depois do roteamento?

A tradução de dentro para fora ocorre após o roteamento, enquanto a tradução de fora para dentro ocorre antes do roteamento. Consulte Ordem de Operação do NAT para obter mais informações.

P. Como a consciência de roteamento reconhece os endereços IP criados por meio do NAT?

O roteamento de endereços IP criados pelo NAT serão reconhecidos se:

  • O pool de endereços globais interno deriva da sub-rede de um roteador de salto seguinte.
  • A entrada da rota estática é configurada no roteador de salto seguinte e redistribuída na rede de roteamento.

P. Quantas sessões simultâneas do NAT são suportadas no NAT do Cisco IOS?

O limite da sessão do NAT é determinado pela quantidade de DRAM disponível no roteador. Cada tradução NAT consome cerca de 160 bytes na DRAM. Como resultado, 10.000 traduções (mais do que normalmente seria manipulado em um único roteador) pode consumir cerca de 1.6 MB. Portanto, uma plataforma de roteamento típica tem memória mais de do que suficiente para suportar milhares de traduções NAT.

P. Que tipo de desempenho de roteamento posso esperar quando uso o NAT do Cisco IOS?

O NAT do Cisco IOS fornece suporte para o switching do CEF (Cisco Express Forwarding), switching rápido e switching de processos.

R. O desempenho depende destes fatores:

  • O tipo de aplicativo e seu tipo de tráfego (ele incorporou endereços IP?)
  • Mensagens múltiplas que foram trocadas precisam ser inspecionadas?
  • Isto exige uma porta de origem específica ou a negocia?
  • O número de traduções.
  • O que mais é executado no momento?
  • O tipo de plataforma e de processador.

Para a maioria dos aplicativos, a degradação do desempenho devida ao NAT será desconsiderada.

P. O NAT do Cisco IOS pode ser aplicado a sub-interfaces?

Sim. Você pode aplicar traduções de NAT de origem e/ou de destino a qualquer interface ou sub-interface que tenha um endereço IP (incluindo as interfaces do discador).

P. O NAT do Cisco IOS pode ser usado com HSRP para fornecer links redundantes para um ISP?

Não. Nesse cenário e nas versões anteriores do Cisco IOS, o roteador em espera não tem tabela de tradução do roteador ativo. Portanto, quando a transferência ocorre, as conexões atingem o tempo limite e falham.

R. No Cisco IOS Software Release 12.2(13)T e posteriores, o recurso Failover de Estado do Network Address Translation pode ser configurado para operar com o protocolo HSRP (Hot Standby Routing Protocol) para fornecer redundância. Consulte o NAT – Suporte ao Mapeamento Estático com HSRP de Alta Disponibilidade para obter informações adicionais.

P. O NAT do Cisco IOS suporta traduções de entrada em um tronco serial executando Frame Relay e não suporta traduções de saída na Ethernet ?

Sim.

P. Um único roteador habilitado para NAT permite que alguns usuários utilizem NAT e permite que outros usuários na mesma interface Ethernet continuem com seus endereços IP próprios?

Sim. Você pode fazer isso por meio do uso de uma ACL que descreve o conjunto de hosts ou redes que requerem tradução NAT. Todas as sessões no mesmo host serão traduzidas ou passarão pelo roteador e não serão traduzidas.

R. ACLs, ACLs estendidas e mapas de rota podem ser usados para definir regras de conversão dos dispositivos de IP. Sempre especifique o endereço de rede e a máscara de sub-rede apropriados. Não use a palavra-chave any no lugar do endereço de rede e da máscara de sub-rede.

ip nat inside source static 10.1.1.10 140.16.1.254

                  !--- Tradução estática para servidor DNS ns.bar.com.
               

ip nat outside source static 10.1.1.10 192.168.1.254

                  !--- Tradução estática para servidor DNS ns.foo.com.
               

ip nat pool iga 140.16.1.1 140.16.1.253 netmask 255.255.255.0

                  !--- IL dinâmico->traduções de endereço IG.
               

ip nat pool ola 192.168.1.1 192.168.1.253 netmask 255.255.255.0

                  !--- OG dinâmico->traduções de endereço OL.
               

ip nat inside source list 1 pool iga

ip nat outside source list 2 pool ola

lista de acessos 1 permite 10.2.17.0 .255.255.255.0
               
                  !--- Traduz todo tráfego a partir de hosts internos 10.2.17.
               

               lista de acesso 2 permite 10.0.0.0 255.0.0.0
               
                  !--- Traduz todo tráfego originado externamente.
               
            

P. O que é PAT ou sobrecarga NAT?

PAT, ou sobrecarga NAT, é um recurso do NAT do Cisco IOS e pode ser usado para traduzir muitos endereços privados internos (internos locais) em um ou mais endereços IP externos (globais internos—geralmente registrados). Os números exclusivos de porta de origem em cada tradução são usados para diferenciar entre as conversações.

R. Com a sobrecarga NAT, é criada uma entrada de tabela de tradução que contém endereço completo e informações de porta de origem.

P. Quando eu configuro para PAT (sobrecarga NAT), qual é o número máximo de traduções que pode fazer para cada endereço IP global interno?

O PAT (sobrecarga NAT) divide as portas disponíveis por endereço IP global em três intervalos de 0-511, 512-1023 e 1024-65535. O PAT (sobrecarga NAT), atribui uma porta de origem única para cada sessão UDP (User Datagram Protocol) ou TCP (Transmission Control Protocol). Ele tenta atribuir o mesmo valor de porta da solicitação inicial. No entanto, se a porta de origem inicial já tiver sido usada, ele começará a exploração do início do intervalo de porta específico para encontrar a primeira porta disponível e atribuí-la à conversação.

P. Como funciona o PAT?

PAT com um endereço IP:

  1. O NAT/PAT inspeciona o tráfego e iguala a uma regra de tradução.
  2. A regra corresponde a uma configuração do PAT.
  3. PAT conhece o tipo de tráfego e o tipo de tráfego tem um conjunto de portas específico ou as portas com as quais ele negocia usarão esse tráfego? Nesse caso, configure-as à parte e não as aloque como identificadores únicos.
  4. As sessões sem requisitos especiais de porta tentam fazer a conexão externa. O PAT converte o endereço de origem IP e verifica a disponibilidade da porta de origem gerada (por exemplo, 433). O grupos são 1-511, 512-1023 e 1024-65535.

    Observação: Para TCP e UDP, os grupos são 1-511, 512-1023, 1024-65535. Para ICMP, o primeiro grupo começa em 0.

  5. Se a porta de origem solicitada estiver disponível, ele atribui a porta de origem e a sessão continua.
  6. Se a porta de origem solicitada não estiver disponível, o NAT iniciará uma pesquisa desde o início do grupo relevante. Neste exemplo, iniciando em 1 para aplicações TCP ou UDP e 0 para ICMP.
  7. Se a porta estiver disponível, ela é atribuída e a sessão continua.
  8. Se nenhuma porta estiver disponível, o pacote será descartado.

A2. PAT com múltiplos endereços IP:

Use a mesma lógica utilizada com um único endereço IP (etapas 1 - 8 acima) e:

  1. Se nenhuma porta estiver disponível no grupo relevante no primeiro endereço IP, a NAT passará para o próximo endereço IP do pool e tentará alocar a porta de origem solicitada.
  2. Se a porta de origem solicitada estiver disponível, ele atribuirá a porta de origem e a sessão continuará.
  3. Se a porta de origem solicitada não estiver disponível, o NAT iniciará uma pesquisa a partir do início do grupo relevante. Este exemplo inicia em 1 para aplicações TCP ou UDP e 0 para ICMP.
  4. Se a porta estiver disponível, ela será atribuída e a sessão continuará.
  5. Se não houver portas disponíveis, o pacote será descartado, a menos que outro endereço IP esteja disponível no pool e até que todos os endereços IP sejam verificados.

P. Qual é o número máximo de pools de IP configuráveis do NAT (usando o ip nat pool <name> comando)?

Não há um limite real. Porém, na prática, o número máximo de pools de IP configuráveis se limita à quantidade de DRAM disponível no roteador específico que está sendo usado.

P. O que é sobreposição de endereço IP conforme discutido no contexto do NAT?

Sobreposição de endereços IP refere-se à situação em que dois locais que desejam se interconectar usam o mesmo esquema de endereço IP. Essa não é uma ocorrência incomum e freqüentemente acontece quando as empresas se fundem ou são adquiridas. Sem um suporte especial, os dois locais não podem se conectar e estabelecer sessões. Os endereços IP sobrepostos podem ser endereços públicos atribuídos a outras empresas, endereços privados já atribuídos a outras empresas ou do intervalo de endereços privados conforme definido no RFC 1918 leavingcisco.com. Endereços IP privados não podem ser roteados e exigem traduções NAT para permitir conexões para o mundo externo. A solução envolve a interceptação das respostas de consultas de nome DNS de fora para dentro, a configuração de uma tradução para o endereço externo e a correção da resposta DNS antes de encaminhá-la para o host interno. Para resolver os usuários que desejam se conectar entre ambas as redes, é necessário que um servidor DNS esteja envolvido nos dois lados do dispositivo do NAT.

R. O NAT é capaz de inspecionar e executar tradução de endereços no conteúdo dos registros DNS A e PTR. Consulte Usando o NAT em Redes Sobrepostas para obter mais informações.

P. É possível construir uma configuração com ambas as traduções estáticas e dinâmicas do Nat?

Sim, isso é possível. A advertência que os endereços globais usam nas traduções estáticas não é automaticamente excluída com pools dinâmicos que contêm esse endereços globais. Você deve criar seus pools dinâmicos para excluir os endereços atribuídos por meio das entradas estáticas.

P. O IOS pode oferecer suporte a várias tabelas NAT externas?

Sim, você pode fazer isso por meio do uso de mapas de rotas. O comando dynamic translation agora pode especificar o mapa de rotas a ser processado, em vez de uma ACL. Um mapa de rota permite ao usuário coincidir qualquer combinação de ACLs, endereços IP do próximo salto e interfaces de saída para determinar o conjunto a ser usado. Consulte Suporte do NAT para Vários Pools Usando Mapas de Rotas para obter mais informações sobre como configurar o NAT usando mapas de rotas.

P. Por que preciso especificar uma máscara de sub-rede quando configuro um pool de endereços NAT?

A máscara de sub-rede é usada para verificar os endereços alocados do pool (portanto você não pode alocar o endereço de broadcast de sub-rede, por exemplo). A máscara de sub-rede deve corresponder ao tamanho da sub-rede para a qual você traduz.

P. Posso alocar endereços IP na sub-rede da interface externa do roteador do NAT para um pool dinâmico do NAT?

Sim. O roteador do NAT responde as requisições ARP para esses endereços IP no pool dinâmico.

P. Um roteador do NAT manipula adequadamente os redirecionamentos de ICMP?

Sim

P. O NAT do Cisco suporta o tráfego de todos os aplicativos?

O tráfego do aplicativo é transparente para o NAT do Cisco IOS a menos que:

  • Haja endereços IP embutidos na parte de dados.
  • Um aplicativo requeira valores predefinidos de porta de origem/destino negociados.

O NAT do Cisco IOS executa uma inspeção stateful e precisa ter conhecimento prévio de todos os aplicativos que incorporam e/ou exigem portas de origem específicas.

Por exemplo, o Cisco fornece suporte para tradução de endereços IP incorporados nos registros DNS A e PTR, e fornece suporte para FTP e NetMeeting versão 2.11 (4.3.2519) e 3.01 (4.4.3385) por meio da configuração separada dos valores de porta de origem que eles requerem. O Cisco não atribui esses valores de porta de origem quando usa o PAT ou recurso de sobrecarga do NAT do Cisco IOS.

Com endereços IP incorporados, o NAT do Cisco IOS precisa conhecer as mensagens que contêm endereços incorporados e o deslocamento dessas mensagens. Se os endereços incorporados corresponderem às regras configuradas, eles serão convertidos de acordo com a configuração. Um aplicativo que incorpora endereços IP (que o NAT do Cisco IOS desconhece) não funcionará corretamente em uma configuração NAT do Cisco IOS.

Uma exceção pode ser no ponto em que um protocolo de tunelamento, como o Point-to-Point Tunneling Protocol (PPTP) é usado. Nesse caso, você não converterá os endereços IP embutidos dos pacotes em túnel. Entretanto, o usuário tem uma extensão virtual da sua rede doméstica e usa o método de endereçamentos de rede doméstica. Se esse usuário fosse acessar a parte externa por meio de sua rede doméstica, ele poderia optar por aplicar o NAT nesse ponto.

Os endereços IP incorporados são um problema, independentemente do tipo de tradução configurada no NAT do Cisco IOS (simples, estendida, sobrecarga etc.).

Quando os pacotes destinados a portas conhecidas são traduzidos, o NAT inspeciona o payload de pacotes, traduz os endereços IP incorporados e cria uma tradução totalmente estendida. Isso acontece com configurações do NAT estáticas e dinâmicas. Essa funcionalidade é executada no caminho comutado de processo e é comportamento normal para todos os protocolos que requerem tradução de endereços IP incorporados, incluindo FTP, DNS, Internet Relay Chat (IRC), Simple Network Management Protocol (SNMP), Lightweight Directory Access Protocol (LDAP), H.323 e Session Initiation Protocol (SIP).

Os valores de porta de origem predefinidos ou negociados só são um problema quando você usa o recurso PAT ou de sobrecarga do NAT do Cisco IOS. O PAT faz a multiplexação de várias conversações sobre um ou mais endereços IP, e usa a porta de origem exclusivamente para identificar conversações em cada endereço IP. O recurso PAT precisa separar todos os valores de porta específicos dos quais você esteja ciente no caso de você obter uma conversação para esses tipos de aplicativos (FTP, NetMeeting etc).

P. Por que o NAT do Cisco IOS não fornece suporte ao tráfego SNMP?

O formato de pacote SNMP depende do MIB específico que é usado e não é auto-descrito. Não há um formato único para requisições e respostas de SNMP que possa ser processado de maneira geral.

P. Como os ARPs são manipulados para endereços IP gerados pelo NAT?

O NAT do Cisco IOS gera uma entrada ARP para endereços IP criados pelo NAT que aponta para o endereço MAC da interface ao qual o pool de endereços IP do NAT está associado.

R. Por exemplo, quando a tradução de origem interna é executada, se o pool interno de endereços globais estiver associado à sub-rede de uma interface externa (S0, por exemplo), as entradas de ARP referentes a esses endereços IP usarão o endereço MAC de S0.

P. O NAT do Cisco IOS fornece suporte a consultas DNS?

Sim, o NAT do Cisco IOS não traduz os endereços que aparecem nas respostas DNS para consultas de nomes (consultas A) e consultas inversas (consultas PTR). Se um host externo envia uma consulta de nome a um servidor DNS no lado interno e esse servidor responde com um endereço local, o código NAT converte tal endereço local em um endereço global. O oposto também é verdadeiro e é como o Cisco fornece suporte para endereços IP que se sobrepõem. Um host interno consulta um servidor DNS externo, a resposta contém um endereço que corresponde ao ACL especificado no comando de origem externo, e o código converte o endereço global externo em um endereço local externo.

R. Os valores de tempo ao vivo (TTL, Time-to-live) em todos os registros de recursos do DNS (RRs, resource records) que recebem traduções de endereço em payloads de RR são automaticamente definidos como zero.

O NAT do Cisco IOS não traduz endereços IP incorporados em transferências de zona DNS.

P. O NAT do Cisco IOS fornece suporte a ACLs que permitem alguns ou todos os pacotes?

Quando você configura o NAT do Cisco IOS para tradução NAT dinâmica, uma ACL é usada para identificar os pacotes que podem ser traduzidos. A arquitetura atual do NAT não fornece suporte ao uso de alguns ou de todos os pacotes nas ACLs usadas pelo NAT. Se alguns ou todos os pacotes forem usados, um comportamento inesperado poderá ocorrer.

P. Por que o Active FTP funciona com estático/estendido (encaminhamento de porta), mas não funciona com PAT?

A razão é que ao abrir a conexão FTP, você se conecta à porta 21 no servidor FTP remoto. Mas quando você faz um "ls", "put", get" ou algo que precise usar uma porta de dados, o servidor abre outra conexão de volta para o cliente. Quando você abre sua conexão FTP original interna e o roteador simula que você é um IP externo específico e seleciona um número de porta aleatório a ser usado, o servidor FTP pensa que ele está falando com esse endereço IP e esse número de porta. Portanto, quando ele precisa abrir a conexão de dados de volta, devido ao "get" ou "ls" e etc, e tenta abrir uma conexão TCP na porta 20 para alguma porta aleatória que o servidor decide. Enquanto está no IP externo para o qual ele pensa que está falando, o roteador ouve o tráfego direto no seu IP externo, mas não tem nenhum mapeamento PAT para esse número de porta aleatório que o servidor selecionou. Portanto, ele não sabe que esse tráfego deve voltar para o cliente.

R. A porta 20 nunca é estabelecida. A solução é usar o modo "FTP passivo". O FTP passivo tem o cliente aberto tanto em conexões da porta 21 quanto da porta 20 desde o início. O roteador sabe tem conhecimento de ambos em vez de apenas da porta 21 e permite que o servidor abra a porta 20.

Consulte Análise do FTP (File Transfer Protocol) leavingcisco.com para obter mais informações sobre FTP.

Você precisa de traduções estendidas para as portas 20 e 21 com mapeamentos estáticos (endereço de exemplo)

ip nat inside source static tcp 192.168.0.4 20 66.46.64.82 20 extendable
ip nat inside source static tcp 192.168.0.4 21 66.46.64.82 21 extendable  

O modo como o FTP ativo funciona não permite o uso do NAT dinâmico. Apenas o NAT estático pode ser usado nesse caso. Esta é uma limitação do FTP.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 26704