Commutateurs : Commutateurs Cisco Catalyst, s�rie�6500

Exemple de configuration de NAT dans les commutateurs Catalyst 6500/6000

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (19 septembre 2015) | Commentaires


Contenu


Introduction

Ce document explique comment configurer la traduction d'adresses de réseau (NAT) sur les commutateurs de la gamme Cisco Catalyst 6500/6000.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Composants utilisés

Les informations dans ce document sont basées sur la gamme Cisco Catalyst 6500 commutent avec l'engine 720 de superviseur qui exécute la version de logiciel 12.2(18)SXD6 de ½ du ¿  de Cisco IOSï et la gamme Cisco Catalyst 6500 commute avec Supervisor Engine II qui exécute la version de logiciel 8.4(4) de CatOS.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec le Commutateurs de la gamme Cisco Catalyst 6000.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/97262/nat-cat665k-configex.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.

Configurations Cisco IOS

Dans cet exemple de configuration, NAT est configuré pour surcharger sur les interfaces fastethernet 4/4 adresse IP. Ceci signifie que plus d'une adresse d'interne local peut être dynamiquement traduite à la même adresse globale. Dans ce cas, l'adresse attribuée aux interfaces fastethernet 4/4.

En outre, NAT est statiquement configuré de sorte que des paquets originaires de l'adresse locale 10.10.10.2 avec le port TCP 25 (SMTP) soient traduits aux interfaces fastethernet 4/4 port TCP 2525 d'adresse IP. Puisque c'est une entrée NAT statique, les clients de messagerie sur l'extérieur peuvent lancer des paquets de SMTP à l'adresse globale de 172.16.10.64. Le port d'extérieur a été choisi en tant que 2525 pour empêcher toutes les attaques par déni de service.

Catalyst 6500 dans le mode natif
6509sup720#show running-config 
 Building configuration...
 Current configuration : 7524 bytes
 !
 version 12.2
 service timestamps debug datetime
 service timestamps log datetime msec localtime
 service password-encryption
 service counters max age 10
 !
 hostname 6509sup720
 !
 boot system sup-bootflash:s72033-psv-mz.122-18.SXD6.bin
 !username maui-nas-05 password cisco

 !
no ip domain-lookup
!
no mls flow ip
no mls flow ipv6
spanning-tree mode pvst
!
redundancy
 mode sso
 main-cpu
!
!
interface FastEthernet4/4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines interface FastEthernet 4/4 with an IP address and as a 
!--- NAT outside interface.

!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 2 with an IP address and as a NAT inside 
!--- interface.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 3 with an IP address and as a NAT inside 
!--- interface.

!

ip nat inside source list 100 interface FastEthernet 4/4 overload

!--- Specifies the translation for inside workstations and
!--- servers to access the outside world.

ip nat inside source static tcp 10.10.10.2 25 interface FastEthernet 4/4 2525

!--- Specifies the static mapping for the outside email clients
!--- to access the inside email server.


!--- Refer to ip nat inside source for more details 
!--- on the command.

!
!
ip classless
no ip http server
!

!--- ACL 100 permits only the desired traffic for translation.

access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any
!
line con 0
transport input none
line vty 0 4 
!
end

Configurations de CatOS

Pour les Commutateurs qui fonctionnent dans le mode hybride vous devez configurer d'abord les VLAN sur le superviseur et puis appliquez la configuration NAT sur le MSFC. Au lieu de avoir une interface du port extérieure, vous devez configurer une interface vlan puisque, dans le mode hybride, vous ne pouvez pas spécifier des adresses IP pour un port particulier.

Catalyst 6500 dans des configurations de mode hybride sur le superviseur (processeur de commutateur)

!--- Configure VLAN 2, VLAN 3 and VLAN 4 on the Supervisor.


!--- Add VLAN 2.

Catalyst6500> (enable) set vlan 2
VLAN 2 configuration successful


!--- Add VLAN 3.

Catalyst6500> (enable) set vlan 3
VLAN 3 configuration successful


!--- Add VLAN 4.

Catalyst6500> (enable) set vlan 4
VLAN 4 configuration successful


!--- Assign port fa4/4 to VLAN 4.

Catalyst6500> (enable) set vlan 4 4/4
VLAN 4 modified.
VLAN 1 modified.
VLAN  Mod/Ports
---- -----------------------
4     4/4
Catalyst6500> (enable)

Catalyst 6500 dans des configurations de mode hybride sur le MSFC (processeur d'artère)
MSFC#show running-config
Building configuration...

Current configuration : 1024 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot system flash bootflash:c6msfc2-jk2o3sv-mz.121-26.E1.bin
!
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
redundancy
 high-availability
 single-router-mode
!
!         
!
!
!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 2 with an IP address and as a NAT inside 
!--- interface.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 3 with an IP address and as a NAT inside 
!--- interface.

!
interface Vlan4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines interface VLAN 4 with an IP address and as a NAT outside
!--- interface.

!
ip nat inside source list 100 interface Vlan4 overload

!--- Specifies the translation for inside workstations and
!--- servers to access the outside world.

ip nat inside source static tcp 10.10.10.2 25 interface Vlan4 2525

!--- Specifies the static mapping for the outside email clients
!--- to access the inside email server.


ip classless
no ip http server
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any

!--- ACL 100 permits only the desired traffic for translation.

!
!
line con 0
line vty 0 4
 no login
!
!
end

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Employez l'OIT pour visualiser une analyse de sortie de commande show

  • show ip nat translations — Affiche des traductions d'adresses réseau actives.

    Cat6k#show ip nat translations 
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 172.16.10.64:2525  10.10.10.2:25        ---                  ---    
  • show ip access-list — Affiche le contenu de toutes les Listes d'accès IP de courant.

    Cat6k#show ip access-lists 
    Extended IP access list 100
        permit ip 10.10.10.0 0.0.0.255 any (32 matches)
        permit ip 10.10.20.0 0.0.0.255 any (22 matches)
        deny ip any any 
  • show ip nat statistics — Statistiques NAT d'affichages.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • debug ip nat — L'affiche des informations au sujet des paquets IP s'est traduite par la caractéristique d'IP NAT.

    Cat6k#debug ip nat
    IP NAT debugging is on
    Cat6k#
    *Mar  1 01:40:47.692 CET: NAT: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [84]
    *Mar  1 01:40:47.884 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [84]
  • clear ip nat translation * — traductions (NAT) de traduction d'adresses de réseau dynamique d'espaces libres de la table de traduction.

Commandes associées

  • ip nat — Indique ce trafic dont provient ou destiné pour l'interface est sujet à NAT.

  • ip nat inside destination — Enables NAT de l'adresse de destination intérieure.

  • ip nat inside source — Enables NAT de l'adresse source intérieure.

  • ip nat outside source — Enables NAT de l'adresse source extérieure.


Informations connexes


Document ID: 97262