Switches : Switches Cisco Catalyst 6500 Series

Exemplo de Configuração de NAT nos Catalyst 6500/6000 Switches

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (1 Agosto 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Configuração
      Diagrama de Rede
      Configurações do Cisco IOS
      Configurações do CatOS
Verificação
Troubleshooting
      Comandos para Troubleshooting
      Comandos Relacionados
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento explica como configurar o Network Address Translation (NAT) nos Cisco Catalyst 6500/6000 Series Switches.

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento baseiam-se no Cisco Catalyst 6500 Series Switch com Supervisor Engine 720 executando o Cisco IOS® Software Release 12.2(18)SXD6 e no Cisco Catalyst 6500 Series Switch com Supervisor Engine II executando o CatOS Software Release 8.4(4).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com os Cisco Catalyst 6000 Series Switches.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

nat-cat665k-configex.gif

Nota: Os esquemas de endereçamento utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 usados em um ambiente de laboratório.

Configurações do Cisco IOS

Neste exemplo de configuração, o NAT é configurado para ser carregado no endereço IP da interface FastEthernet 4/4. Isso significa que mais de um endereço local interno pode ser convertido dinamicamente no mesmo endereço global. Nesse caso, o endereço atribuído à interface FastEthernet 4/4.

Além disso, o NAT é configurado estaticamente para que os pacotes originados do endereço local 10.10.10.2 na porta 25 do TCP (SMTP) sejam convertidos no endereço IP e na porta 2525 do TCP da interface FastEthernet 4/4. Como essa é uma entrada de NAT estático, os clientes externos poderão enviar pacotes SMTP para o endereço global 172.16.10.64. A porta externa foi definida como 2525 para evitar quaisquer ataques de negação de serviços.

Catalyst 6500 no modo nativo

6509sup720#show running-config
 Building configuration...
 Current configuration : 7524 bytes
 !
 version 12.2
 service timestamps debug datetime
 service timestamps log datetime msec localtime
 service password-encryption
 service counters max age 10
 !
 hostname 6509sup720
 !
 boot system sup-bootflash:s72033-psv-mz.122-18.SXD6.bin
 !username maui-nas-05 password cisco

 !
no ip domain-lookup
!
no mls flow ip
no mls flow ipv6
spanning-tree mode pvst
!
redundancy
 mode sso
 main-cpu
!
!
interface FastEthernet4/4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Define a interface FastEthernet 4/4 com um endereço IP e como uma
!--- interface NAT externa.

!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Define a VLAN 2 da interface com um endereço IP e como uma interface NAT
!--- interna.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Define a VLAN 3 da interface com um endereço IP e como uma interface NAT
!--- interna.

!

ip nat inside source list 100 interface FastEthernet 4/4 overload

!--- Especifica a conversão para as estações de trabalho internas e
!--- os servidores para acesso ao mundo externo.

ip nat inside source static tcp 10.10.10.2 25 interface FastEthernet 4/4 2525

!--- Especifica o mapeamento estático para que os clientes de email externos
!--- acessem o servidor de email interno.


!--- Consulte ip nat inside source para obter mais detalhes
!--- sobre o comando.

!
!
ip classless
no ip http server
!

!--- ACL 100 permite somente o tráfego desejado para conversão.

access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any
!
line con 0
transport input none
line vty 0 4
!
end

Configurações do CatOS

Nos switches que operam no modo híbrido, é necessário configurar primeiro as VLANs no Supervisor e, em seguida, aplicar a configuração de NAT na MSFC. Em vez de usar uma interface de porta externa, você deverá configurar uma VLAN de interface, já que, no modo híbrido, não é possível especificar endereços IP para uma porta específica.

Catalyst 6500 no modo híbrido

Configurações no Supervisor (Processador do switch)


!--- Configura VLAN 2, VLAN 3 e VLAN 4 no Supervisor.


!--- Adiciona a VLAN 2.

Catalyst6500> (enable) set vlan 2
VLAN 2 configuration successful


!--- Adiciona a VLAN 3.

Catalyst6500> (enable) set vlan 3
VLAN 3 configuration successful


!--- Adiciona a VLAN 4.

Catalyst6500> (enable) set vlan 4
VLAN 4 configuration successful


!--- Atribui a porta fa4/4 à VLAN 4.

Catalyst6500> (enable) set vlan 4 4/4
VLAN 4 modified.
VLAN 1 modified.
VLAN  Mod/Ports
---- -----------------------
4     4/4
Catalyst6500> (enable)

Catalyst 6500 no modo híbrido

Configurações na MSFC (Processador de rota)

MSFC#show running-config
Building configuration...

Current configuration : 1024 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot system flash bootflash:c6msfc2-jk2o3sv-mz.121-26.E1.bin
!
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
redundancy
 high-availability
 single-router-mode
!
!
!
!
!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Define a VLAN 2 da interface com um endereço IP e como uma interface NAT
!--- interna.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Define a VLAN 3 da interface com um endereço IP e como uma interface NAT
!--- interna.

!
interface Vlan4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Define a VLAN 4 da interface com um endereço IP e como uma interface NAT
!--- interna.

!
ip nat inside source list 100 interface Vlan4 overload

!--- Especifica a conversão para as estações de trabalho internas e
!--- os servidores para acesso ao mundo externo.

ip nat inside source static tcp 10.10.10.2 25 interface Vlan4 2525

!--- Especifica o mapeamento estático para que os clientes de email externos
!--- acessem o servidor de email interno.


ip classless
no ip http server
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any

!--- ACL 100 permite somente o tráfego desejado para conversão.

!
!
line con 0
line vty 0 4
 no login
!
!
end

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Output Interpreter Tool (somente clientes registrados ) (OIT) oferece suporte a determinados comandos show Use a OIT para exibir uma análise do comando show.

  • show ip nat translations — Exibe as conversões de NAT ativas.

    Cat6k#show ip nat translations
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 172.16.10.64:2525  10.10.10.2:25        ---                  ---
    
  • show ip access-list — Exibe o conteúdo de todas as listas de acesso de IP atuais.

    Cat6k#show ip access-lists
    Extended IP access list 100
        permit ip 10.10.10.0 0.0.0.255 any (32 matches)
        permit ip 10.10.20.0 0.0.0.255 any (22 matches)
        deny ip any any
    
  • show ip nat statistics — Exibe as estatísticas do NAT.

Troubleshooting

Esta seção fornece informações que você pode usar no troubleshooting de sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug ip nat — Exibe informações sobre os pacotes IP convertidos pelo recurso NAT de IP.

    Cat6k#debug ip nat
    IP NAT debugging is on
    Cat6k#
    *Mar  1 01:40:47.692 CET: NAT: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [84]
    *Mar  1 01:40:47.884 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [84]
    
  • clear ip nat translation * — Limpa as conversões de NAT dinâmicas da tabela de conversão.

Comandos Relacionados

  • ip nat — Determina que o tráfico originado ou destinado à interface está sujeito ao NAT.

  • ip nat inside destination — Ativa o NAT do endereço de destino interno.

  • ip nat inside source — Ativa o NAT do endereço de origem interno.

  • ip nat outside source — Ativa o NAT do endereço de origem externo.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 97262