Протокол IP : Технология NAT

Преобразование сетевых адресов (NAT) на одном интерфейсе

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (29 июля 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Что подразумевается под преобразованием сетевого адреса на одном интерфейсе? Термин "на одном интерфейсе" обычно подразумевает использование единого физического интерфейса маршрутизатора для выполнения задач. Так как можно использовать субинтерфейсы одного и того же физического интерфейса для выполнения межкоммутаторного транкинга связи (ISL), мы можем использовать единственный физический интерфейс на маршрутизаторе для того, чтобы выполнить NAT.

Примечание: Маршрутизатор должен обработать, коммутируют каждый пакеты в связи с к интерфейсу обратной связи. Это ухудшает производительность маршрутизатора.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Эта функция требует, чтобы вы использовали версию Cisco программное обеспечение IOS�, которое поддерживает NAT. Используйте ILS Cisco Feature Navigator (только зарегистрированные клиенты) для определения, какие версии IOS можно использовать с этой функцией.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в Условные обозначения технических терминов Cisco.

Общие сведения

Для преобразования сетевых адресов пакету необходимо переключаться с внутреннего на внешний интерфейс NAT и обратно. Это требование для NAT не изменилось, но в этом документе показано, как можно использовать виртуальный интерфейс, также известный как интерфейс обратной связи, и основанную на политиках маршрутизацию, чтобы наладить работу NAT в маршрутизаторе с единым физическим интерфейсом.

Такие требования для NAT на одном интерфейсе являются редкими. Фактически, примеры, приведенные в этом документе, могут быть единственными примерами ситуаций, в которых необходима конфигурация. Однако другие случаи, когда пользователи применяют маршрутизацию, основанную на политиках, в связке с NAT, мы не рассматриваем как преобразование сетевых адресов (NAT) на одном интерфейсе, потому что в этих случаях используется несколько физических интерфейсов.

Пример 1 Диаграмма и конфигурация сети

Схема сети

nat-on-stick-a.gif

Представленная выше диаграмма сети часто встречается в настройке кабельного модема. CMTS (Cable Modem Termination System) является устройством, включающем в себя маршрутизатор, а также кабельный модем (CM) и работающем в качестве моста. Рассматриваемая проблема заключается в том, что поставщик Интернет-услуг (ISP) не предоставил нам достаточно действительных адресов для всех хостов, которым требуется подключение к Интернету. Поставщик услуг Интернета выдал адрес 192.168.1.2, который может быть использован для устройства. По следующему запросу были предоставлены три дополнительных адреса – от 192.168.2.1 до 192.168.2.3, – в которые NAT преобразовывает хосты диапазона 10.0.0.0/24.

Требования

Наши требования:

  • Все хосты в сети необходимо подключить к Интернету.

  • Узел 2 должен быть доступен из Интернета и иметь IP-адрес 192.168.2.1.

  • Так как мы располагаем большим количеством хостов, чем легальные адреса, мы используем подсеть 10.0.0.0/24 для осуществления внутренней адресации.

В данном документе рассматривается только конфигурация маршрутизатора NAT. Однако мы сделаем несколько важных замечаний в отношении конфигурации хостов.

Конфигурацию маршрутизатора NAT

Конфигурацию маршрутизатора NAT
interface Loopback0	  
 ip address 10.0.1.1 255.255.255.252
 ip nat outside

!--- Creates a virtual interface called Loopback 0 and assigns an
!--- IP address of 10.0.1.1 to it. Defines interface Loopback 0 as 
!--- NAT outside.

!
!
interface Ethernet0
 ip address 192.168.1.2 255.255.255.0 secondary
 ip address 10.0.0.2 255.255.255.0
 ip Nat inside

!--- Assigns a primary IP address of 10.0.0.2 and a secondary IP 
!--- address of 192.168.1.2 to Ethernet 0. Defines interface Ethernet 0 
!--- as NAT inside. The 192.168.1.2 address will be used to communicate 
!--- through the CM to the CMTS and the Internet.  The 10.0.0.2 address
!--- will be used to communicate with the local hosts. 
 

 ip policy route-map Nat-loop

!--- Assigns route-map "Nat-loop" to Ethernet 0 for policy routing.

!
ip Nat pool external 192.168.2.2 192.168.2.3 prefix-length 29
ip Nat inside source list 10 pool external overload
ip Nat inside source static 10.0.0.12 192.168.2.1

!--- NAT is defined: packets that match access-list 10 will be
!--- translated to an address from the pool called "external".
!--- A static NAT translation is defined for 10.0.0.12 to be
!--- translated to 192.168.2.1 (this is for host 2 which needs
!--- to be accessed from the Internet).

         
ip classless
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route 192.168.2.0 255.255.255.0 Ethernet0

!--- Static default route set as 192.168.1.1, also a static
!--- route for network 192.168.2.0/24 directly attached to
!--- Ethernet 0

!
!
access-list 10 permit 10.0.0.0 0.0.0.255 

!--- Access-list 10 defined for use by NAT statement above. 


access-list 102 permit ip any 192.168.2.0 0.0.0.255
access-list 102 permit ip 10.0.0.0 0.0.0.255 any

!--- Access-list 102 defined and used by route-map "Nat-loop"
!--- which is used for policy routing.

!
Access-list 177 permit icmp any any

!--- Access-list 177 used for debug.

!
route-map Nat-loop permit 10
 match ip address 102
 set ip next-hop 10.0.1.2

!--- Creates route-map "Nat-loop" used for policy routing. 
!--- Route map states that any packets that match access-list 102 will
!--- have the next hop set to 10.0.1.2 and be routed "out" the
!--- loopback interface. All other packets will be routed normally.
!--- We use 10.0.1.2 because this next-hop is seen as located 
!--- on the loopback interface which would result in policy routing to 
!--- loopback0. Alternatively, we could have used "set interface 
!--- loopback0" which would have done the same thing.

!
end
NAT-router#

Примечание: Для всех хостов шлюз по умолчанию настроен на адрес 10.0.0.2, который является NAT-маршрутизатором. Поставщик Интернет-услуг, также как CMTS, должен иметь маршрут по адресу 192.168.2.0/29, который указывает путь к NAT-маршрутизатору для возвращения данных к работе, так как трафик с внутреннего хоста определяется как полученный из подсети. В следующем примере CMTS направляет трафик для адреса 192.168.2.0/29 по адресу 192.168.1.2, который настроен на NAT маршрутизаторе.

Пример 1. Выходные данные команд show и debug

В данном разделе содержатся сведения о проверке работы конфигурации.

Чтобы показать, что вышеупомянутая конфигурация работает, были проведены несколько ping-тестов, в то время как NAT-маршрутизатор контролировал выходные данные команды debug. . Теперь видно, что команды ping успешно выполняются, а выходные данные команд debug показывает как раз сам текущий процесс. .

Примечание: Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах debug.

Тест 1

В первом тесте мы выполняем команду ping от устройства в Интернете к хосту 2. Запомните, что одним из требований было то, что устройства в Интернете должны иметь возможность взаимодействовать с хостом 2 по адресу 192.168.2.1. . Следующим является выходные данные команды debug, как показывает NAT-маршрутизатор. . Командами debug, запущенными в NAT-маршрутизаторе, были debug ip packet 177 detail , которая использует заданный лист доступа access-list 177, debug ip Nat и debug ip policy, которая выводит пакеты, маршрутизированные политикой. .

Ниже представлены выходные данные команды show ip Nat translation, выполненной NAT-маршрутизатором. :

NAT-router# show ip Nat translation
Pro Inside global      Inside local       Outside local      Outside global
--- 192.168.2.1        10.0.0.12          ---                ---
NAT-router#

От устройства в Интернете, в данном случае маршрутизатора, мы, как показано ниже, успешно выполняем команду ping относительно адреса 192.168.2.1. :

Internet-device# ping 192.168.2.1
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/92/92 ms
Internet-device#

Чтобы узнать, что происходит в маршрутизаторе, см. выходные данные и комментарии к командам debug. :

IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1, len 100, policy match
    ICMP type=8, code=0
IP: route map Nat-loop, item 10, permit
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1 (Loopback0), Len 100, policy routed
    ICMP type=8, code=0

!--- The above debug output shows the packet with source 177.10.1.3 destined 
!--- to 192.168.2.1.  The packet matches the statements in the "Nat-loop" 
!--- policy route map and is permitted and policy-routed. The Internet 
!--- Control Message Protocol (ICMP) type 8, code 0 indicates that this 
!--- packet is an ICMP echo request packet.


IP: Ethernet0 to Loopback0 10.0.1.2
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1 (Loopback0), g=10.0.1.2, Len 100, 
forward
    ICMP type=8, code=0

!--- The packet now is routed to the new next hop address of 10.0.1.2 
!--- as shown above.


IP: NAT enab = 1 trans = 0 flags = 0
NAT: s=177.10.1.3, d=192.168.2.1->10.0.0.12 [52]
IP: s=177.10.1.3 (Loopback0), d=10.0.0.12 (Ethernet0), g=10.0.0.12, Len 100, 
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- Now that the routing decision has been made, NAT takes place. We can 
!--- see above that the address 192.168.2.1 is translated to 10.0.0.12 and 
!--- this packet is forwarded out Ethernet 0 to the local host.
!--- Note: When a packet is going from inside to outside, it is routed and
!--- then translated (NAT). In the opposite direction (outside to inside),
!--- NAT takes place first.


IP: s=10.0.0.12 (Ethernet0), d=177.10.1.3, Len 100, policy match
    ICMP type=0, code=0
IP: route map Nat-loop, item 10, permit
IP: s=10.0.0.12 (Ethernet0), d=177.10.1.3 (Loopback0), Len 100, policy routed
    ICMP type=0, code=0
IP: Ethernet0 to Loopback0 10.0.1.2

!--- Host 2 now sends an ICMP echo response, seen as ICMP type 0, code 0. 
!--- This packet also matches the policy routing statements and is 
!--- permitted for policy routing.


NAT: s=10.0.0.12->192.168.2.1, d=177.10.1.3 [52]
IP: s=192.168.2.1 (Ethernet0), d=177.10.1.3 (Loopback0), g=10.0.1.2, Len 100, 
forward
    ICMP type=0, code=0
IP: s=192.168.2.1 (Loopback0), d=177.10.1.3 (Ethernet0), g=192.168.1.1, Len 100, 
forward
    ICMP type=0, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- The above output shows the Host 2 IP address is translated to 
!--- 192.168.2.1 and the packet that results packet is sent out loopback 0, 
!--- because of the policy based routing, and finally forwarded
!--- out Ethernet 0 to the Internet device.

!--- The remainder of the debug output shown is a repeat of the previous 
!--- for each of the additional four ICMP packet exchanges (by default, 
!--- five ICMP packets are sent when pinging from Cisco routers). We have 
!--- omitted most of the output since it is redundant.


IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1, Len 100, policy match
    ICMP type=8, code=0
IP: route map Nat-loop, item 10, permit
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1 (Loopback0), Len 100, policy routed
    ICMP type=8, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.1 (Loopback0), g=10.0.1.2, Len 100, 
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0
NAT: s=177.10.1.3, d=192.168.2.1->10.0.0.12 [53]
IP: s=177.10.1.3 (Loopback0), d=10.0.0.12 (Ethernet0), g=10.0.0.12, Len 100, 
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0
IP: s=10.0.0.12 (Ethernet0), d=177.10.1.3, Len 100, policy match
    ICMP type=0, code=0
IP: route map Nat-loop, item 10, permit
IP: s=10.0.0.12 (Ethernet0), d=177.10.1.3 (Loopback0), Len 100, policy routed
    ICMP type=0, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
NAT: s=10.0.0.12->192.168.2.1, d=177.10.1.3 [53]
IP: s=192.168.2.1 (Ethernet0), d=177.10.1.3 (Loopback0), g=10.0.1.2, Len 100, 
forward
    ICMP type=0, code=0
IP: s=192.168.2.1 (Loopback0), d=177.10.1.3 (Ethernet0), g=192.168.1.1, Len 100, 
forward
    ICMP type=0, code=0
IP: NAT enab = 1 trans = 0 flags = 0

Тест 2

Другое требование – разрешить сетевым узлам устанавливать связь с Интернетом. В этом тесте выполняем команду ping от Хоста 1 в Интернет. Ниже показан результат выполнения команд show и debug. .

В исходном положении таблица NAT-преобразования в NAT-маршрутизаторе выглядит следующим образом:

NAT-router# show ip Nat translation
Pro Inside global      Inside local       Outside local      Outside global
--- 192.168.2.1        10.0.0.12          ---                ---
NAT-router#

Выполняя команду ping в Хосте 1, мы видим:

Host-1# ping 177.10.1.3
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 177.10.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/92/96 ms
Host-1#

Как видно выше, команда ping был успешно выполнена. . Таблица NAT в маршрутизаторе теперь выглядит следующим образом:

NAT-router# show ip Nat translation
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.2.2:434   10.0.0.11:434      177.10.1.3:434     177.10.1.3:434
icmp 192.168.2.2:435   10.0.0.11:435      177.10.1.3:435     177.10.1.3:435
icmp 192.168.2.2:436   10.0.0.11:436      177.10.1.3:436     177.10.1.3:436
icmp 192.168.2.2:437   10.0.0.11:437      177.10.1.3:437     177.10.1.3:437
icmp 192.168.2.2:438   10.0.0.11:438      177.10.1.3:438     177.10.1.3:438
--- 192.168.2.1        10.0.0.12          ---                ---
NAT-router#

В приведенной выше таблице преобразования NAT отображены дополнительные преобразования, являющиеся результатом динамической конфигурации NAT (в отличие от статической конфигурации NAT).

Результат выполнения команды debug показывает процессы, происходящие в NAT-маршрутизаторе. .

IP: NAT enab = 1 trans = 0 flags = 0
IP: s=10.0.0.11 (Ethernet0), d=177.10.1.3, Len 100, policy match
    ICMP type=8, code=0
IP: route map Nat-loop, item 10, permit
IP: s=10.0.0.11 (Ethernet0), d=177.10.1.3 (Loopback0), Len 100, policy routed
    ICMP type=8, code=0
IP: Ethernet0 to Loopback0 10.0.1.2

!--- The above output shows the ICMP echo request packet originated by 
!--- Host 1 which is policy-routed out the loopback interface.

 
NAT: s=10.0.0.11->192.168.2.2, d=177.10.1.3 [8]
IP: s=192.168.2.2 (Ethernet0), d=177.10.1.3 (Loopback0), g=10.0.1.2, Len 100, 
forward
    ICMP type=8, code=0
IP: s=192.168.2.2 (Loopback0), d=177.10.1.3 (Ethernet0), g=192.168.1.1, Len 100, 
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- After the routing decision has been made by the policy routing, 
!--- translation takes place, which translates the Host 1 IP address of 10.0.0.11 
!--- to an address from the "external" pool 192.168.2.2 as shown above. 
!--- The packet is then forwarded out loopback 0 and finally out Ethernet 0 
!--- to the Internet device.


IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2, Len 100, policy match
    ICMP type=0, code=0
IP: route map Nat-loop, item 10, permit
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2 (Loopback0), Len 100, policy routed
    ICMP type=0, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2 (Loopback0), g=10.0.1.2, Len 100, 
forward
    ICMP type=0, code=0

!--- The Internet device sends an ICMP echo response which matches our 
!--- policy, is policy-routed, and forward out the Loopback 0 interface.


IP: NAT enab = 1 trans = 0 flags = 0
NAT: s=177.10.1.3, d=192.168.2.2->10.0.0.11 [8]
IP: s=177.10.1.3 (Loopback0), d=10.0.0.11 (Ethernet0), g=10.0.0.11, Len 100, 
forward
    ICMP type=0, code=0

!--- The packet is looped back into the loopback interface at which point 
!--- the destination portion of the address is translated from 192.168.2.2 
!--- to 10.0.0.11 and forwarded out the Ethernet 0 interface to the local host.

!--- The ICMP exchange is repeated for the rest of the ICMP packets, some of 
!--- which are shown below.


IP: NAT enab = 1 trans = 0 flags = 0
IP: s=10.0.0.11 (Ethernet0), d=177.10.1.3, Len 100, policy match
    ICMP type=8, code=0
IP: route map Nat-loop, item 10, permit
IP: s=10.0.0.11 (Ethernet0), d=177.10.1.3 (Loopback0), Len 100, policy routed
    ICMP type=8, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
NAT: s=10.0.0.11->192.168.2.2, d=177.10.1.3 [9]
IP: s=192.168.2.2 (Ethernet0), d=177.10.1.3 (Loopback0), g=10.0.1.2, Len 100, 
forward
    ICMP type=8, code=0
IP: s=192.168.2.2 (Loopback0), d=177.10.1.3 (Ethernet0), g=192.168.1.1, Len 100, 
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2, Len 100, policy match
    ICMP type=0, code=0
IP: route map Nat-loop, item 10, permit
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2 (Loopback0), Len 100, policy routed
    ICMP type=0, code=0
IP: Ethernet0 to Loopback0 10.0.1.2
IP: s=177.10.1.3 (Ethernet0), d=192.168.2.2 (Loopback0), g=10.0.1.2, Len 100, 
forward
    ICMP type=0, code=0
IP: NAT enab = 1 trans = 0 flags = 0
NAT: s=177.10.1.3, d=192.168.2.2->10.0.0.11 [9]
IP: s=177.10.1.3 (Loopback0), d=10.0.0.11 (Ethernet0), g=10.0.0.11, Len 100, 
forward
    ICMP type=0, code=0

Пример 2. Схема и конфигурация сети

Схема сети

nat-on-stick-c.gif

Требования

Для взаимодействия необходимы определенные устройства двух узлов (R1 и R3). Оба узла используют незарегистрированные IP-адреса, значит необходимо преобразовать их во время взаимодействия узлов. В нашем случае разместите 10.10.10.1, преобразован в 200.200.200.1, и хост 20.20.20.1 будет преобразован в 100.100.100.1. Поэтому необходимо, чтобы преобразование выполнялось в обоих направлениях. Трафик между этими двумя узлами в целях учета должен проходить через R2. В итоге наши требования выглядят следующим образом:

  • Хостам 10.10.10.1 узла R1 и 20.20.20.1 узла R3 необходимо взаимодействовать, используя их сетевые адреса.

  • Трафик между этими узлами должен пересылаться по R2.

  • В нашем случае нам нужно настроить трансляции статических адресов, как показано в конфигурации ниже.

Конфигурацию маршрутизатора NAT

Конфигурацию маршрутизатора NAT
interface Loopback0 
 ip address 4.4.4.2 255.255.255.0 
 ip Nat inside 

!--- Creates a virtual interface called "loopback 0" and assigns IP address 
!--- 4.4.4.2 to it. Also defines for it a NAT inside interface.

! 
Interface Ethernet0/0 
 ip address 1.1.1.2 255.255.255.0 
 no ip redirects 
 ip Nat outside 
 ip policy route-map Nat

!--- Assigns IP address 1.1.1.1/24 to e0/0. Disables redirects so that packets 
!--- which arrive from R1 destined toward R3 are not redirected to R3 and 
!--- visa-versa. Defines the interface as NAT outside interface. Assigns 
!--- route-map "Nat" used for policy-based routing.

! 
ip Nat inside source static 10.10.10.1 200.200.200.1 

!--- Creates a static translation so packets received on the inside interface 
!--- with a source address of 10.10.10.1 will have their source address 
!--- translated to 200.200.200.1.  Note: This implies that the packets received
!--- on the outside interface with a destination address of 200.200.200.1 
!--- will have the destination translated to 10.10.10.1.


ip Nat outside source static 20.20.20.1 100.100.100.1 

!--- Creates a static translation so packets received on the outside interface 
!--- with a source address of 20.20.20.1 will have their source address 
!--- translated to 100.100.100.1. Note: This implies that packets received on
!--- the inside interface with a destination address of 100.100.100.1 will 
!--- have the destination translated to 20.20.20.1.


ip route 10.10.10.0 255.255.255.0 1.1.1.1 
ip route 20.20.20.0 255.255.255.0 1.1.1.3 
ip route 100.100.100.0 255.255.255.0 1.1.1.3
! 
access-list 101 permit ip host 10.10.10.1 host 100.100.100.1 
route-map Nat permit 10 
 match ip address 101 
 set ip next-hop 4.4.4.2 


Пример 2. Выходные данные по команде "show and debug"

Примечание: Некоторые команды show поддерживаются Интерпретатором выходных данных; это позволяет выполнять анализ выходных данных команды show. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах debug.

Тест 1

Как показано в конфигурации выше, есть два статических преобразования NAT, которые можно увидеть на R2 с помощью команды show ip Nat translation. .

Ниже представлены выходные данные команды show ip Nat translation, выполненной NAT-маршрутизатором. :

NAT-router# show ip Nat translation
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                100.100.100.1      20.20.20.1
--- 200.200.200.1      10.10.10.1         ---                ---
R2#

В этом тесте мы получили результат команды ping от устройства (10.10.10.1) узла R1, предназначенного для сетевого адреса устройства (100.100.100.1) узла R3. . Результат выходных данных команды debug ip Nat и debug ip packet на узле R2. :

IP: NAT enab = 1 trans = 0 flags = 0
IP: s=10.10.10.1 (Ethernet0/0), d=100.100.100.1, Len 100, policy match
    ICMP type=8, code=0
IP: route map Nat, item 10, permit
IP: s=10.10.10.1 (Ethernet0/0), d=100.100.100.1 (Loopback0), Len 100, policy 
routed
    ICMP type=8, code=0
IP: Ethernet0/0 to Loopback0 4.4.4.2

!--- The above output shows the packet source from 10.10.10.1 destined 
!--- for 100.100.100.1 arrives on E0/0, which is defined as a NAT 
!--- outside interface. There is not any NAT that needs to take place at 
!--- this point, however the router also has policy routing enabled for 
!--- E0/0. The output shows that the packet matches the policy that is 
!--- defined in the policy routing statements.

 
IP: s=10.10.10.1 (Ethernet0/0), d=100.100.100.1 (Loopback0), g=4.4.4.2, Len 100, 
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- The above now shows the packet is policy-routed out the loopback0 
!--- interface. Remember the loopback is defined as a NAT inside interface.


NAT: s=10.10.10.1->200.200.200.1, d=100.100.100.1 [26]
NAT: s=200.200.200.1, d=100.100.100.1->20.20.20.1 [26]

!--- For the above output, the packet is now arriving on the loopback0 
!--- interface. Since this is a NAT inside interface, it is important to 
!--- note that before the translation shown above takes place, the router 
!--- will look for a route in the routing table to the destination, which 
!--- before the translation is still 100.100.100.1.  Once this route look up
!--- is complete, the router will continue with translation, as shown above. 
!--- The route lookup is not shown in the debug output.


IP: s=200.200.200.1 (Loopback0), d=20.20.20.1 (Ethernet0/0), g=1.1.1.3, Len 100, 
forward
    ICMP type=8, code=0
IP: NAT enab = 1 trans = 0 flags = 0

!--- The above output shows the resulting translated packet that results is
!--- forwarded out E0/0.

Здесь представлен ответный пакет полученный от устройства узла R3, предназначенный для устройства узла R1:

NAT: s=20.20.20.1->100.100.100.1, d=200.200.200.1 [26]
NAT: s=100.100.100.1, d=200.200.200.1->10.10.10.1 [26]

!--- The return packet arrives into the e0/0 interface which is a NAT 
!--- outside interface. In this direction (outside to inside), translation 
!--- occurs before routing. The above output shows the translation takes place.


IP: s=100.100.100.1 (Ethernet0/0), d=10.10.10.1 (Ethernet0/0), Len 100, policy 
rejected -- normal forwarding
    ICMP type=0, code=0
IP: s=100.100.100.1 (Ethernet0/0), d=10.10.10.1 (Ethernet0/0), g=1.1.1.1, 
Len 100, forward
    ICMP type=0, code=0

!--- The E0/0 interface still has policy routing enabled, so the packet is 
!--- check against the policy, as shown above.  The packet does not match the 
!--- policy and is forwarded normally.


Сводка

В данном руководстве рассматривается маршрутизация, основанная на политике и преобразовании сетевых адресов (NAT) для создания сценария "NAT в каскаде". Важно помнить, что данная конфигурация может уменьшить производительность маршрутизатора, использующего NAT, так как пакеты могут быть направлены через маршрутизатор.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 6505