IP : Traducción de direcciones de red (NAT)

Configuración de muestra usando el comando ip nat outside source list

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona un ejemplo de configuración con el comando ip nat outside source list, e incluye una descripción breve de lo que sucede con el paquete IP durante el proceso NAT. Puede utilizar este comando para traducir la dirección de origen de los paquetes IP que viajan desde el exterior hacia el interior de la red. Esta acción traduce la dirección de destino de los paquetes IP que viajan en la dirección opuesta desde el interior al exterior de la red. Este comando es útil en tales situaciones como redes superpuestas, donde las direcciones de la red interna se superponen con las direcciones que están fuera de la red. Consideremos el diagrama de la red como un ejemplo.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware. Sin embargo, la información en este documento se basa en estas versiones de software y hardware:

  • Cisco 2500 Series Router

  • Software Release 12.2(24a) del½ del¿Â del Cisco IOSï que se ejecuta en todo el Routers

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/13770/1a.gif

Cuando el ping es originado de la interfaz Loopback0 del Router 2514W (172.16.88.1) a la interfaz Loopback0 del Router 2501E (171.68.1.1), sucede lo siguiente:

El Router 2514W reenvía los paquetes al Router 2514X porque se configura con una ruta predeterminada. En la interfaz exterior del Router 2514X, el paquete tiene una dirección de origen (SA) de 172.16.88.1 y una dirección de destino (DA) de 171.68.1.1. Debido a que la SA está permitida en la lista de acceso 1, que es utilizada por el comando ip nat outside source list, se traduce a una dirección del conjunto NAT Net171. Tenga en cuenta que el comando ip nat outside source list hace referencia al conjunto NAT "Net171". En este caso, la dirección se traduce a 171.68.16.10, que es la primera dirección disponible en el conjunto NAT. Luego de la traducción, el Router 2514X busca el destino en la tabla de ruteo y enruta el paquete. El router 2501 ve el paquete en su interfaz de entrada con un SA de 171.68.16.10 y un DA de 171.68.1.1. Responde mediante el envío de una respuesta de eco del Internet Control Message Protocol (ICMP) a 171.68.16.10. Si no tiene una ruta, elimina el paquete. En este caso, tiene una ruta (predeterminada), de modo que envía un paquete al Router 2514X mediante una SA de 171.68.1.1 y una DA de 171.68.16.10. El Router 2514X detecta el paquete en su interfaz interior y verifica si hay una ruta a la dirección 171.68.16.10. Si no posee una, responde con una respuesta “ICMP inalcanzable”. En este caso, tiene una ruta a 171.68.16.10, debido a la opción agregar ruta del comando ip nat outside source que agrega una ruta host basada en traducción entre la dirección global externa y la dirección local externa, por lo que traduce el paquete nuevamente a la dirección 172.16.88.1, y rutea el paquete fuera de su interfaz exterior.

Configuraciones

Router 2514W
hostname 2514W 
!

!--- Output suppressed.
 
interface Loopback0 
 ip address 172.16.88.1 255.255.255.0 
!

!--- Output suppressed.
 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
!

!--- Output suppressed.
 
ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to 2514X.


!

!--- Output suppressed.

Router 2514x
hostname 2514X 
! 

!--- Output suppressed.

! 
interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 
 no ip mroute-cache 
 no ip route-cache 
!

!--- Output suppressed.
 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 ip nat outside 
 no ip mroute-cache 
 no ip route-cache 
 clockrate 2000000 
! 
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 

!--- NAT pool defining Outside Local addresses to be used for translation. 

!
ip nat outside source list 1 pool Net171 add-route

!--- Configures translation for Outside Global addresses
!--- with the NAT pool.  


ip classless 
ip route 172.16.88.0 255.255.255.0 172.16.191.254 
ip route 171.68.1.0 255.255.255.0 171.68.192.201

!--- Static routes for reaching the loopback interfaces 
!--- on 2514W and 2501E.
 

access-list 1 permit 172.16.88.0 0.0.0.255 

!--- Access-list defining Outside Global addresses to be translated. 


!

!--- Output suppressed.

!

Router 2501e
hostname 2501E 
! 

!--- Output suppressed.

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 

!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- Default route to forward packets to 2514X.


!

!--- Output suppressed.

Verificación

Esta sección proporciona información que puede utilizar para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

El comando show ip nat translations puede ser utilizado para verificar las entradas de traducción, como se muestra en el siguiente resultado.

2514X# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 171.68.1.1          171.68.1.1         171.68.16.10       172.16.88.1
--- ---                 ---                171.68.16.10       172.16.88.1

2514X#

El resultado anterior muestra que la dirección global externa 172.16.88.1, que es la dirección en la interfaz del Loopback0 del router 2514W, se traduce a la dirección local externa 171.68.16.10.

Puede utilizar el comando show ip route para verificar las entradas de la tabla de ruteo, como se muestra:

2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       171.68.192.0/24 is directly connected, Ethernet1
S       171.68.1.0/24 [1/0] via 171.68.192.201
S       171.68.16.10/32 [1/0] via 172.16.88.1
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S       172.16.88.0/24 [1/0] via 172.16.191.254
C       172.16.191.252/30 is directly connected, Serial1
2514X#

El resultado muestra una ruta /32 para la dirección local externa 171.68.16.10, que es creada gracias a la opción agregar ruta del comando ip nat outside source. Esta ruta se utiliza para rutear y traducir los paquetes que viajan del interior al exterior de la red.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Esta salida es el resultado de funcionar con los comandos debug ip packet y debug ip nat en el router 2514X, mientras que hace ping del direccionamiento de la interfaz del loopback0 del router 2514W (172.16.88.1) al direccionamiento de la interfaz del loopback0 del router 2501E (171.68.1.1):

*Mar  1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95]

!--- The source address in the first packet arriving on
!--- the outside interface is first translated.


*Mar  1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via
RIB
*Mar  1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len
100, forward

!--- The ICMP echo request packet with the translated source address
!--- is routed and forwarded on the inside interface.

 
*Mar  1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via
RIB

!--- The ICMP echo reply packet arriving on the inside interface 
!--- is first routed based on the destination address.

 
*Mar  1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95]

!--- The destination address in the packet is then translated.

 

*Mar  1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1
00, forward

!--- The ICMP echo reply packet with the translated destination 
!--- address is forwarded on the outside interface.


El procedimiento anterior se repite para cada paquete recibido en la interfaz exterior.

Resumen

La diferencia principal entre utilizar el comando ip nat outside source list (NAT dinámico) en lugar del comando ip nat outside source static (NAT estático) es que no hay entradas en la tabla de traducción hasta que el router (configurado para NAT) verifique el criterio de traducción del paquete. En el ejemplo anterior, el paquete con la SA 172.16.88.1 (que entra en la interfaz exterior del Router 2514X) cumple con los requisitos de la lista de acceso 1, los criterios utilizados por el comando ip nat outside source list. Por este motivo, los paquetes deben originarse en la red externa antes de que los paquetes de la red interna puedan comunicarse con la interfaz loopback0 del Router 2514W.

Hay dos puntos importantes a tener en cuenta en este ejemplo.

Primero, cuando el paquete viaja de afuera hacia adentro, primero se produce la traducción y luego se verifica la tabla de ruteo para el destino. Cuando el paquete viaje desde adentro hacia afuera, se controla primero la tabla de ruteo y luego se realiza la conversión.

En segundo lugar, es importante tener en cuenta qué parte del paquete IP se traduce cuando se utiliza cada uno de los comandos anteriores. La siguiente tabla incluye una pauta:

Comando Acción
ip nat outside source list
  • traduce la fuente de los paquetes del IP que están viajando de afuera hacia adentro
  • traslada el destino de los paquetes IP que están viajando del interior al exterior
ip nat inside source list
  • traduce el origen de los paquetes de IP que están viajando desde adentro hacia afuera
  • traduce el destino de los paquetes IP que viajan de afuera hacia adentro

Las pautas antes mencionadas indican que existe más de un modo para traducir un paquete. Según sus necesidades específicas, debe determinar cómo definir las interfaces NAT (dentro y fuera) y qué rutas debe contener la tabla de ruteo antes o después de la traslación. Recuerde que la porción del paquete a traducir depende de la dirección de trayecto del paquete y de cómo haya configurado el NAT.


Información Relacionada


Document ID: 13770