IP : Traducción de direcciones de red (NAT)

Soporte NAT para varios conjuntos usando mapas de ruta

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento explica cómo el uso de las listas de acceso en contraste con los mapas de ruteo cambia la funcionalidad de la Traducción de dirección de red (NAT). Para más información sobre el NAT, refiera al Cisco IOS NAT.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco 2500 Series Router.

  • Software Release 12.3(3) del ½ del ¿Â de Cisco IOSïÂ.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

NAT sólo utiliza las listas de acceso y enruta los mapas cuando necesita crear una entrada de traducción. Si existe una entrada de traducción ya que hace juego el tráfico entonces la entrada de traducción es utilizada; ningunas Listas de acceso o mapa del ruta no serán consultados. La diferencia entre usar una lista de acceso o el Route Map es el tipo de entrada de traducción que será creado.

Mapas de Ruta

Cuando NAT usa una correspondencia de la ruta para decidir crear una entrada de traducción, creará siempre una entrada de traducción “completamente ampliada.” Esta entrada de traducción contendrá ambos las entradas de dirección (locales y globales) del interior y del exterior y cualquier información de puerto TCP o UDP. Refiera al NAT: Definiciones locales y globales para más de la información direccionamientos (locales y globales) interiores y exteriores encendido.

Listas de acceso (ninguna sobrecarga)

Cuando NAT use una lista de accesos para decidir crear una entrada de traducción, creará una entrada de traducción “simple”. Esta entrada "simple" contendrá sólo entradas de direcciones IP locales y globales sólo para el interior o el exterior; esto dependerá de si está configurado el comando ip nat inside o ip nat outside. Además, no incluirá ningún tipo de información de puerto TCP o UDP.

Listas de acceso (con la sobrecarga)

Cuando NAT usa una lista de acceso, y también se especificó una sobrecarga, NAT creará una entrada de traducción “totalmente expandida”. (Véase Note1). La operación es similar al caso del route-map salvo que el route-map tiene algunas características adicionales. Vea la nota 2 para más detalles. Usted puede ver un ejemplo de una entrada de traducción NAT simple y de una entrada de traducción NAT totalmente ampliada seleccionando uno de estos links:

Esto es un ejemplo de diagrama de red usado para ilustrar la diferencia entre usar un Route Map y una lista de acceso con el NAT:

/image/gif/paws/13739/nat_routemap1.gif

En este ejemplo de diagrama de red, se requiere que los host en 10.1.1.0 estén traducidos al siguiente:

  • 131.108.2.0 cuando se dirige hacia 131.108.1.0

  • 131.118.2.0 cuando se dirige a 131.118.1.0

Enfoque de lista de acceso

Con un enfoque de lista de acceso, debería hacer lo siguiente para traducir los hosts en 10.1.1.0:

ip nat pool pool108 131.108.2.1 131.108.2.254 prefix-length 24

!--- Defines a pool of global addresses to be allocated as needed.
 
     ip nat pool pool118 131.118.2.1 131.118.2.254 prefix-length 24

     ip nat inside source list 108 pool pool108
     
!--- Establishes dynamic source translation, specifying the 
     !--- access list defined below.
 
     ip nat inside source list 118 pool pool118

     interface ethernet0
       ip address 10.1.1.1 255.255.255.0
       ip nat inside
       
!--- Marks the interface as connected to the inside.
 
     interface ethernet1
       ip address 10.1.2.1 255.255.255.0
       ip nat outside
       
!--- Marks the interface as connected to the outside.


     access-list 108 permit ip 10.1.1.0 0.0.0.255 131.108.1.0 0.0.0.255
     
!--- Defines the access-list mentioning those addresses 
     !--- that are to be translated.

     access-list 118 permit ip 10.1.1.0 0.0.0.255 131.118.1.0 0.0.0.255

Refiera al IP Addressing y mantiene los comandos para más información sobre estos comandos.

Host 1 a Host 2

Esto es lo que sucede cuando el Host 1 se conecta mediante Telnet con el Host 2.

Packet on (Network 1) s:10.1.1.2(1024)     d:131.108.1.2(23)
     Packet on (Network 2) s:131.108.2.1(1024)  d:131.108.1.2(23)   (after NAT)

Porque una lista de acceso fue utilizada por el NAT para hacer juego este tráfico se crea una entrada de traducción simple, que incluye solamente la información de traducción interior y ningún protocolo o información de puerto:

inside                         outside
         local        global          global         local
        10.1.1.2     131.108.2.1       ----           ----

Paquete de devolución: Host 2 a Host 1

Packet on (Network 2)  s:131.108.1.2(23)  d:131.108.2.1(1024)
     Packet on (Network 1)  s:131.108.1.2(23)  d:10.1.1.2(1024)      (after NAT)

Host 1 a Host 3

Con la traducción simple citada anteriormente en su sitio, aquí está lo que sucede cuando Host 1 también utiliza Telnet para Host 3:

Packet on (Network 1)  s:10.1.1.2(1025)     d:131.118.1.2(23)
     Packet on (Network 2)  s:131.108.2.1(1025)  d:131.118.1.2(23)   (after NAT)

Usted puede ver que hay un problema. Los paquetes de los hosts 10.1.1.0 a 131.118.1.0 se deben traducir a 131.118.2.0, y no a 131.108.2.0. La razón que sucede ésta es porque hay ya una entrada de la traducción de NAT para 10.1.1.2 <--> 131.108.2.1 que también hace juego el tráfico entre el host 1 y el host 3. Por lo tanto, se usará esta entrada de traducción y no se revisarán las listas de acceso 108 y 118.

Mientras que la entrada de traducción simple existe en la tabla de traducción de NAT, puede ser utilizada por cualquier usuario externo en cualquier host exterior para enviar un paquete para recibir 1 mientras el usuario externo utilice a la dirección global interna (131.108.2.1) para el host 1. que una traducción NAT estática es normalmente necesario permitir esto.

Enfoque de correspondencia de la ruta

La forma correcta de configurar el ejemplo en este documento es utilizar asignaciones de rutas. Con un enfoque del mapa de ruta, usted debería hacer lo siguiente para traducir los hosts en 10.1.1.0:

ip nat pool pool-108 131.108.2.1 131.108.2.254 prefix-length 24
     ip nat pool pool-118 131.118.2.1 131.118.2.254 prefix-length 24

     ip nat inside source route-map MAP-108 pool pool-108
     
!--- Establishes dynamic source translation, specifying 
     !--- the route-map MAP-108 which is defined below. 

     ip nat inside source route-map MAP-118 pool pool-118

     !--- Establishes dynamic source translation, specifying the route-map MAP-118.
     !--- Here, the route-maps are consulted instead of 
     !--- access-lists (as in the previous case).



     interface ethernet0
       ip address 10.1.1.1 255.255.255.0
       ip nat inside
     interface ethernet1
       ip address 10.1.2.1 255.255.255.0
       ip nat outside

     access-list 108 permit ip 10.1.1.0 0.0.0.255 131.108.1.0 0.0.0.255
     access-list 118 permit ip 10.1.1.0 0.0.0.255 131.118.1.0 0.0.0.255

     route-map MAP-108 permit 10
     
!--- Defines the Route-map MAP-108.

     match ip address 108
     
!--- Specifies the criteria for translation. Here, the IP 
     !--- address mentioned in the access-list 108 is translated.
     !--- The translation is defined in the
     !--- ip nat inside source route-map MAP-108 pool pool-108 command.




     route-map MAP-118 permit 10
     
!--- Defines the Route-map MAP-108.

     match ip address 118
     
!--- The IP address mentioned in the access-list 118 is translated. 
     !--- The translation is defined in the 
     !--- ip nat inside source route-map MAP-118 pool pool-118 command.

Refiera al IP Addressing y mantiene los comandos para más información sobre estos comandos.

Host 1 a Host 2

Esto es lo que sucede cuando el Host 1 se conecta mediante Telnet con el Host 2:

Packet on (Network 1) s:10.1.1.2(1024)     d:131.108.1.2(23)
     Packet on (Network 2) s:131.108.2.1(1024)  d:131.108.1.2(23)   (after NAT)

En este caso, dado que la NAT utilizó un mapa de rutas para hacer coincidir el tráfico a traducir, la NAT creará una entrada de traducción completamente extendida, que incluye información de traducción interna y externa:

 inside                               outside
         local            global             global             local
     10.1.1.2:1024    131.108.2.1:1024   131.108.1.2:23     131.108.1.2:23

Paquete de devolución: Host 2 a Host 1

Packet on (Network 2) s:131.108.1.2(23)  d:131.108.2.1(1024)
     Packet on (Network 1) s:131.108.1.2(23)  d:10.1.1.2(1024)      (after NAT)

Host 1 a Host 3

Ahora en que el host 1 envía un paquete para recibir 3, esto es qué aparece:

Packet on (Network 1) s:10.1.1.2(1025)     d:131.118.1.2(23)
     Packet on (Network 2) s:131.118.2.1(1025)  d:131.118.1.2(23)   (after NAT)

La traducción trabajó correctamente porque el paquete encendido (n1) no hace juego la entrada de traducción totalmente ampliada que fue utilizada para el host 1 para recibir el tráfico 2. Porque la traducción existente no hace juego, el NAT crea otra entrada de traducción para el host 1 para recibir el tráfico 3.

Éstas son las entradas de traducción totalmente ampliada en el router NAT:

inside                               outside
         local            global             global             local
     10.1.1.2:1024    131.108.2.1:1024   131.108.1.2:23     131.108.1.2:23
     10.1.1.2:1025    131.118.2.1:1025   131.118.1.2:23     131.118.1.2:23

Debido a que la tabla de traducción NAT tiene dos entradas completas, traducirá de manera correcta el tráfico que va hacia los dos destinos diferentes desde el mismo origen.

A diferencia de la entrada de traducción simple que fue creada vía la lista de acceso, la entrada de traducción totalmente ampliada creada vía el Route Map no se puede utilizar por ningún otro usuario externo para enviar un paquete para recibir 1. Una traducción NAT estática es necesaria permitir esto.

Nota 1

En el caso de la lista de acceso con la sobrecarga, la configuración es similar a la lista de acceso sin el caso de la sobrecarga. La excepción es que usted necesita agregar la palabra clave Sobrecarga al comando ip nat inside source list 108 pool pool108 y ip nat inside source list 118 pool pool118.

Nota 2

La ventaja de usar las ruta-correspondencias es ésa bajo comando match que usted puede tener más opciones con excepción de la dirección IP de origen. Por ejemplo, bajo el route-map, la interfaz de la coincidencia o el Next-Hop del IP de la coincidencia puede ser especificada. Usando las ruta-correspondencias, usted puede especificar la dirección IP así como la interfaz o la dirección del salto siguiente a las cuales el paquete debe ser remitido. Por lo tanto, las ruta-correspondencias con el NAT se utilizan en un escenario donde está multi-homing el suscriptor a diversos ISP.


Información Relacionada


Document ID: 13739