Switches : Switches Cisco Catalyst de la serie 6500

Ejemplo de Configuración de NAT en Switches Catalyst 6500/6000

25 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (1 Agosto 2007) | Comentarios

Contenido

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Productos Relacionados
      Convenciones
Configuración
      Diagrama de Red
      Configuraciones de Cisco IOS
      Configuraciones de CatOS
Verificación
Troubleshooting
      Comandos para Troubleshooting
      Comandos Relacionados
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se explica cómo configurar la Traducción de Direcciones de Red (NAT) en Cisco Catalyst 6500/6000 Series Switches.

Prerrequisitos

Requisitos

Asegúrese de cumplir los siguientes requisitos antes de utilizar esta configuración:

Componentes Utilizados

La información de este documento se basa en el Cisco Catalyst 6500 Series Switch con Supervisor Engine 720 que ejecuta Cisco IOS® Software Release 12.2(18)SXD6 y en el Cisco Catalyst 6500 Series Switch con Supervisor Engine II que ejecuta CatOS Software Release 8.4(4).

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos.

Productos Relacionados

Se puede utilizar la misma configuración con Cisco Catalyst 6000 Series Switches.

Convenciones

Consulte las Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Configuración

En esta sección, encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de Red

En este documento, se utiliza la siguiente configuración de red:

nat-cat665k-configex.gif

Nota: Los esquemas de direccionamiento IP utilizados en esta configuración no son legalmente ruteables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.

Configuración de Cisco IOS

En este ejemplo de configuración, NAT está configurada para sobrecarga en la dirección IP de la interfaz FastEthernet 4/4. Esta significa que se puede traducir de manera dinámica más de una dirección interna local a la misma dirección global. En este caso, la dirección asignada a la interfaz FastEthernet 4/4.

Además, la NAT está configurada de manera estática para que los paquetes originados en la dirección local 10.10.10.2 con el puerto TCP 25 (SMTP) se traduzcan al puerto TCP 2525 de la dirección IP de la interfaz FastEthernet 4/4. Dado que es una entrada NAT estática, los clientes de email externos pueden originar paquetes SMTP a la dirección global de 172.16.10.64. Se eligió el puerto externo como 2525 para evitar cualquier ataque de negación de servicio.

Catalyst 6500 en Modo Nativo

6509sup720#show running-config
 Building configuration...
 Current configuration : 7524 bytes
 !
 version 12.2
 service timestamps debug datetime
 service timestamps log datetime msec localtime
 service password-encryption
 service counters max age 10
 !
 hostname 6509sup720
 !
 boot system sup-bootflash:s72033-psv-mz.122-18.SXD6.bin
 !username maui-nas-05 password cisco

 !
no ip domain-lookup
!
no mls flow ip
no mls flow ipv6
spanning-tree mode pvst
!
redundancy
 mode sso
 main-cpu
!
!
interface FastEthernet4/4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Define la interfaz FastEthernet 4/4 con una dirección IP y como una
!--- interfaz externa de NAT.

!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Define la interfaz VLAN 2 con una dirección IP y como una interfaz
!--- interna de NAT.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Define la interfaz VLAN 3 con una dirección IP y como una interfaz
!--- interna de NAT.

!

ip nat inside source list 100 interface FastEthernet 4/4 overload

!--- Especifica la traducción para que las estaciones de trabajo y los servidores
!--- internos accedan al mundo exterior.

ip nat inside source static tcp 10.10.10.2 25 interface FastEthernet 4/4 2525

!--- Especifica el mapeo estático para que los clientes de email externos
!--- accedan al servidor de email interno.


!--- Consulte ip nat inside source para obtener más información
!--- sobre el comando.

!
!
ip classless
no ip http server
!

!--- ACL 100 sólo permite la traducción del tráfico deseado.

access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any
!
line con 0
transport input none
line vty 0 4
!
end

Configuración de CatOS

Para los switches que se ejecutan en modo híbrido, primero es necesario configurar las VLANs en la Supervisora y luego aplicar la configuración de NAT en la MSFC. En lugar de tener una interfaz de puerto externo, es necesario configurar una interfaz VLAN dado que, en el modo híbrido, no se puede especificar una dirección IP para un puerto determinado.

Catalyst 6500 en Modo Híbrido

Configuración en la Supervisora (Procesador del Switch)


!--- Configuración de VLAN 2, VLAN 3 y VLAN 4 en la Supervisora.


!--- Agregado de VLAN 2.

Catalyst6500> (enable) set vlan 2
VLAN 2 configuration successful


!--- Agregado de VLAN 3.

Catalyst6500> (enable) set vlan 3
VLAN 3 configuration successful


!--- Agregado de VLAN 4.

Catalyst6500> (enable) set vlan 4
VLAN 4 configuration successful


!--- Asignación del puerto fa4/4 a la VLAN 4.

Catalyst6500> (enable) set vlan 4 4/4
VLAN 4 modified.
VLAN 1 modified.
VLAN  Mod/Ports
---- -----------------------
4     4/4
Catalyst6500> (enable)

Catalyst 6500 en Modo Híbrido

Configuración en la MSFC (Procesador de Ruteo)

MSFC#show running-config
Building configuration...

Current configuration : 1024 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot system flash bootflash:c6msfc2-jk2o3sv-mz.121-26.E1.bin
!
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
redundancy
 high-availability
 single-router-mode
!
!
!
!
!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Define la interfaz VLAN 2 con una dirección IP y como una interfaz
!--- interna de NAT.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Define la interfaz VLAN 3 con una dirección IP y como una interfaz
!--- interna de NAT.

!
interface Vlan4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Define la interfaz VLAN 4 con una dirección IP y como una interfaz
!--- externa de NAT.

!
ip nat inside source list 100 interface Vlan4 overload

!--- Especifica la traducción para que las estaciones de trabajo y los servidores
!--- internos accedan al mundo exterior.

ip nat inside source static tcp 10.10.10.2 25 interface Vlan4 2525

!--- Especifica el mapeo estático para que los clientes de email externos
!--- accedan al servidor de email interno.


ip classless
no ip http server
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any

!--- ACL 100 sólo permite la traducción del tráfico deseado.

!
!
line con 0
line vty 0 4
 no login
!
!
end

Verificación

Utilice esta sección para confirmar que la configuración funciona correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

  • show ip nat translations: Muestra las traducciones NAT activas.

    Cat6k#show ip nat translations
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 172.16.10.64:2525  10.10.10.2:25        ---                  ---
    
  • show ip access-list: Muestra el contenido de todas las listas de acceso IP actuales.

    Cat6k#show ip access-lists
    Extended IP access list 100
        permit ip 10.10.10.0 0.0.0.255 any (32 matches)
        permit ip 10.10.20.0 0.0.0.255 any (22 matches)
        deny ip any any
    
  • show ip nat translations: Muestra las estadísticas de NAT.

Troubleshooting

En esta sección, encontrará información que puede utilizar para resolver problemas de configuración.

Comandos para Troubleshooting

La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

  • debug ip nat: Muestra información sobre los paquetes IP traducidos por la función IP NAT.

    Cat6k#debug ip nat
    IP NAT debugging is on
    Cat6k#
    *Mar  1 01:40:47.692 CET: NAT: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [84]
    *Mar  1 01:40:47.884 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [84]
    
  • clear ip nat translation *: Borra traducciones dinámicas de la Traducción de Direcciones de Red (NAT) de la tabla de traducción.

Comandos Relacionados

  • ip nat: Indica que el tráfico que se origina en o está destinado a la interfaz está sujeto a la NAT.

  • ip nat inside destination: Activa la NAT de la dirección de destino interna.

  • ip nat inside source: Activa la NAT de la dirección de origen interna.

  • ip nat outside source: Activa la NAT de la dirección de origen externa.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 97262