IP : Traduction d'adresses de réseau (NAT)

Exemple de configuration à l'aide de la commande ip nat outside source list

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit un exemple de configuration avec la commande ip nat outside source list et comporte une brève description de ce qui arrive au paquet IP pendant le processus NAT. Vous pouvez utiliser cette commande pour traduire l'adresse source des paquets IP qui circulent de l'extérieur du réseau vers l'intérieur du réseau. Cette action traduit l'adresse de destination des paquets IP qui voyagent dans la direction opposée de l'intérieur vers l'extérieur du réseau. Cette commande est utile dans les situations telles que les réseaux en superposition, où les adresses de réseau interne chevauchent les adresses qui sont à l'extérieur du réseau. Considérons comme exemple le diagramme de réseau.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques. Cependant, les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Routeurs de la gamme Cisco 2500

  • Exécution de version de logiciel 12.2(24a) de Ý de Cisco IOS sur tous les Routeurs

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/13770/1a.gif

Quand le ping est créé depuis le routeur de l'interface 2514W Loopback0 (172.16.88.1) vers le routeur de l'interface 2501E Loopback0 (171.68.1.1), ceci se produit :

Le routeur 2514W transmet les paquets au routeur 2514X parce qu'il est configuré avec une route par défaut. Sur l'interface extérieure du routeur 2514X, le paquet a une adresse source (SA) de 172.16.88.1 et une adresse de destination (DA) de 171.68.1.1. Puisque la SA est autorisée dans la liste d'accès 1, qui est utilisée par la commande ip nat outside source list, elle est traduite en adresse depuis le groupe NAT Net171. Notez que la commande ip nat outside source list se rapporte au groupe NAT "Net171". Dans ce cas, l'adresse est traduite en 171.68.16.10 qui est la première adresse disponible dans le groupe NAT. Après la traduction, le routeur 2514X recherche la destination dans la table de routage et dirige le paquet. Le routeur 2501E voit le paquet sur son interface entrante avec une SA de 171.68.16.10 et une DA de 171.68.1.1. Il répond en envoyant une réponse écho Internet Control Message Protocol (ICMP) à 171.68.16.10. S'il n'a pas de route, il rejette le paquet. Dans ce cas, il a une route (par défaut), ainsi il envoie un paquet vers le routeur à 2514X, en utilisant une SA de 171.68.1.1 et une DA de 171.68.16.10. Le routeur 2514X voit le paquet sur son interface interne et vérifie une route à l'adresse 171.68.16.10. S'il n'en a pas, il répond avec une réponse d'ICMP inaccessible. Dans ce cas, il a une route vers 171.68.16.10, en raison du fait que l'option add-route de la commande ip nat outside source qui ajoute une route hôte basée sur la traduction entre l'adresse globale et l'adresse locale extérieures, ce qui signifie qu'elle traduit le paquet de nouveau vers l'adresse 172.16.88.1 et dirige le paquet en dehors de son interface externe.

Configurations

Routeur 2514W
hostname 2514W 
!

!--- Output suppressed.
 
interface Loopback0 
 ip address 172.16.88.1 255.255.255.0 
!

!--- Output suppressed.
 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
!

!--- Output suppressed.
 
ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to 2514X.


!

!--- Output suppressed.

Routeur 2514X
hostname 2514X 
! 

!--- Output suppressed.

! 
interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 
 no ip mroute-cache 
 no ip route-cache 
!

!--- Output suppressed.
 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 ip nat outside 
 no ip mroute-cache 
 no ip route-cache 
 clockrate 2000000 
! 
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 

!--- NAT pool defining Outside Local addresses to be used for translation. 

!
ip nat outside source list 1 pool Net171 add-route

!--- Configures translation for Outside Global addresses
!--- with the NAT pool.  


ip classless 
ip route 172.16.88.0 255.255.255.0 172.16.191.254 
ip route 171.68.1.0 255.255.255.0 171.68.192.201

!--- Static routes for reaching the loopback interfaces 
!--- on 2514W and 2501E.
 

access-list 1 permit 172.16.88.0 0.0.0.255 

!--- Access-list defining Outside Global addresses to be translated. 


!

!--- Output suppressed.

!

Routeur 2501E
hostname 2501E 
! 

!--- Output suppressed.

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 

!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- Default route to forward packets to 2514X.


!

!--- Output suppressed.

Vérifiez

Cette section fournit des informations qui vous permettront de confirmer que votre configuration fonctionne correctement.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

La commande show ip nat translations peut être utilisée pour contrôler les entrées de traduction, suivant les indications de la sortie ci-dessous.

2514X# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 171.68.1.1          171.68.1.1         171.68.16.10       172.16.88.1
--- ---                 ---                171.68.16.10       172.16.88.1

2514X#

La sortie ci-dessus montre que l'adresse globale externe 172.16.88.1, qui est l'adresse sur l'interface Loopback0 du routeur 2514W, est traduite en l'adresse locale externe 171.68.16.10.

Vous pouvez utiliser la commande show ip route pour contrôler les entrées de la table de routage, comme indiqué :

2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       171.68.192.0/24 is directly connected, Ethernet1
S       171.68.1.0/24 [1/0] via 171.68.192.201
S       171.68.16.10/32 [1/0] via 172.16.88.1
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S       172.16.88.0/24 [1/0] via 172.16.191.254
C       172.16.191.252/30 is directly connected, Serial1
2514X#

La sortie montre une route /32 pour l'adresse locale externe 171.68.16.10, qui est créée en raison de l'option ajouter-route de la commande ip nat outside source. Cette route est utilisée pour diriger et traduire les paquets qui circulent de l'intérieur vers l'extérieur du réseau.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Cette sortie est le résultat d'exécuter le debug ip packet et les commandes de debug ip nat sur le routeur 2514X, tout en cinglant de l'adresse d'interface du routeur 2514W loopback0 (172.16.88.1) à l'adresse d'interface du routeur 2501E loopback0 (171.68.1.1) :

*Mar  1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95]

!--- The source address in the first packet arriving on
!--- the outside interface is first translated.


*Mar  1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via
RIB
*Mar  1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len
100, forward

!--- The ICMP echo request packet with the translated source address
!--- is routed and forwarded on the inside interface.

 
*Mar  1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via
RIB

!--- The ICMP echo reply packet arriving on the inside interface 
!--- is first routed based on the destination address.

 
*Mar  1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95]

!--- The destination address in the packet is then translated.

 

*Mar  1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1
00, forward

!--- The ICMP echo reply packet with the translated destination 
!--- address is forwarded on the outside interface.


La procédure ci-dessus est répétée pour chaque paquet reçu sur l'interface externe.

Résumé

La principale différence entre l'utilisation de la commande ip nat outside source list (NAT dynamique) plutôt que la commande ip nat outside source static (NAT statique) est qu'il n'y a aucune entrée dans la table de traduction jusqu'à ce que le routeur (configuré pour NAT) vérifie les critères de traduction du paquet. Dans l'exemple ci-dessus, le paquet avec la SA 172.16.88.1 (qui entre dans l'interface externe du routeur 2514X) satisfait à la liste d'accès 1, les critères utilisés par la commande ip nat outside source list . Pour cette raison, les paquets doivent provenir du réseau externe avant que les paquets du réseau interne puissent communiquer avec l'interface loopback0 du routeur 2514W.

Il y a deux choses importantes à noter dans cet exemple.

D'abord, quand le paquet circule de l'extérieur vers l'intérieur, la traduction se produit, puis la table de routage est examinée vis-à-vis de la destination. Lorsque le paquet circule de l'intérieur vers l'extérieur, d'abord la table de routage est examinée vis-à-vis de la destination, puis la traduction se produit.

Ensuite, il est important de noter quelle partie du paquet IP est traduite lors de l'utilisation de chacune des commandes ci-dessus. Le tableau suivant contient une ligne directrice :

Commande Action
ip nat outside source list
  • traduit la source des paquets IP qui circulent de l'extérieur vers l'intérieur
  • traduit la destination des paquets IP qui circulent de l'intérieur vers l'extérieur
ip nat inside source list
  • traduit la source des paquets IP qui circulent de l'intérieur vers l'extérieur
  • traduit la destination des paquets IP qui circulent de l'extérieur vers l'intérieur

Ce que les lignes directrices ci-dessus indiquent est qu'il y a plus d'une façon pour traduire un paquet. Selon vos besoins spécifiques, vous devriez déterminer comment définir les interfaces NAT (intérieur ou extérieur) et quelles routes les tables de routage devraient contenir avant ou après la traduction. Gardez présent à l'esprit que la partie du paquet qui sera traduite dépend de la direction dans laquelle le paquet circule et de la façon dont vous avez configuré NAT.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 13770