Протокол IP : Сервисы IP-адресации

Образец конфигурации с использованием команды ip nat outside source static

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (1 июня 2006) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройка
      Схема сети
      Конфигурации
Проверка
Устранение неполадок
Краткие выводы
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе показан образец настройки с использованием команды ip nat outside source static, а также краткое описание того, что происходит с IP-пакетом во время процесса NAT. Рассмотрим в качестве примера топологию сети, представленную в данном документе.

Предварительные условия

Требования

Прежде чем использовать эту конфигурацию, убедитесь, что выполняются следующие требования:

Дополнительная информация представлена в разделе Дополнительные сведения данного документа.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются маршрутизаторов Cisco серии 2500, основанных на ПО IOS® версии 12.2(27).

Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. При работе с реально функционирующей сетью необходимо полностью осознавать возможные последствия выполнения команд до их применения.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в разделе Технические советы Cisco. Условные обозначения.

Настройка

В данном разделе содержится информация о настройке функций, описанных в этом документе.

Примечание. Для поиска дополнительной информации о командах в данном документе используйте средство Command Lookup (только для зарегистрированных клиентов).

Схема сети

В данном разделе используются следующие настройки сети:

2a.gif

При выполнении команды ping, источником которой является интерфейс Loopback1 маршрутизатора 2514W, а пунктом назначения - интерфейс Loopback0 маршрутизатора 2501E, происходит следующее:

На внешнем интерфейсе (S1) маршрутизатора 2514X пакет проверки доступности адресата отображается вместе с адресом источника (SA) 172.16.89.32 и адресом назначения (DA) 171.68.1.1. NAT транслирует SA на внешний локальный адрес 171.68.16.5 (в соответствии с настройками команды ip nat outside source static, заданными на маршрутизаторе 2514X). Затем маршрутизатор 2514X проверяет свою таблицу маршрутизации для маршрута к 171.68.1.1. Если маршрут не существует, маршрутизатор 2514X сбрасывает пакет. В этом случае маршрутизатор 2514X устанавливает путь к 171.68.1.1 через статический маршрут к 171.68.1.0. Маршрутизатор направляет пакет к месту назначения. Маршрутизатор 2501E видит пакет на своем входном интерфейсе (E0) с SA 171.68.16.5 и DA 171.68.1.1. Он отсылает эхо-ответ по протоколу управляющих сообщений в сети Интернет (ICMP) на адрес 171.68.16.5. Если маршрута нет, пакет отбрасывается. Однако в этом случае присутствует маршрут (по умолчанию). Следовательно, маршрутизатор отправляет пакет ответа на маршрутизатор 2514X через SA 171.68.1.1 и DA 171.68.16.5. Маршрутизатор 2514X видит пакет и проверяет наличие маршрута к адресу 171.68.16.5. Если маршруты не найдены, он отвечает сообщением ICMP о недостижимости. В этом случае используется маршрут 171.68.16.5 (поскольку присутствует статический маршрут). Следовательно, он отправляет пакет обратно на адрес 172.16.89.32 и перенаправляет его на внешний интерфейс (S1).

Конфигурации

В этом разделе используются следующие конфигурации:

Router 2514W

hostname 2514W 
! 


!--- Выходные данные подавлены.

interface Loopback1 
 ip address 172.16.89.32 255.255.255.0 
! 
interface Ethernet1 
 no ip address 
 no ip mroute-cache 
! 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
! 

!--- Выходные данные подавлены.

ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Маршрут по умолчанию для перенаправления пакетов на 2514X.

!


!--- Выходные данные подавлены.

Router 2514X

hostname 2514X 
! 


!--- Выходные данные подавлены.

ip nat outside source static 172.16.89.32 171.68.16.5 

!--- Внешний локальный адрес.

! 


!--- Выходные данные подавлены.

interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 

!--- Определяет Ethernet 1 в качестве внутреннего интерфейса NAT.

 no ip mroute-cache 
 no ip route-cache 
! 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 no ip route-cache 
 ip nat outside 

!--- Определяет Serial 1 в качестве внешнего интерфейса NAT.

 clockrate 2000000 



! 


!--- Выходные данные подавлены.

ip classless  
ip route 171.68.1.0 255.255.255.0 171.68.192.201 
ip route 171.68.16.0 255.255.255.0 172.16.191.254 

!--- Статические маршруты для достижения интерфейсов обратной связи


!--- на 2514E и 2514W.

!


!--- Выходные данные подавлены.

Router 2501E

hostname rp-2501E 
! 


!--- Выходные данные подавлены.

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 


!--- Выходные данные подавлены.

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- Маршрут по умолчанию для перенаправления пакетов на 2514X.

!


!--- Выходные данные подавлены.

Проверка

Этот раздел позволяет проверить правильность функционирования конфигурации.

Средство Output Interpreter Tool (только для зарегистрированных клиентов) (OIT) поддерживает некоторые команды show. Используйте средство OIT, чтобы просмотреть анализ выходных данных команды show.

Чтобы проверить записи трансляции, используйте команду show ip nat translations, как показано в выходных данных.

2514X#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                171.68.16.5        171.16.89.32
2514X#

Устранение неполадок

В данном примере использовался режим отладки NAT и IP-пакетов для демонстрации процесса NAT.

Примечание. Поскольку команды debug создают значительный объем выходных данных, используйте их только в периоды низкой загрузки IP-сети, чтобы не снизить быстродействие других процессов системы.

Примечание. Прежде чем выполнять какие-либо команды debug, ознакомьтесь с документом Важные сведения о командах отладки.

Эти выходные данные являются результатом одновременного выполнения команд debug ip packet и debug ip nat на маршрутизаторе 2514X при проверке связи между адресом интерфейса loopback1 маршрутизатора 2514W (172.16.89.32) и адресом интерфейса loopback0 маршрутизатора 2501E (171.68.1.1).

В этих данных показан первый пакет, поступающий на внешний интерфейс маршрутизатора 2514X. Исходный адрес 172.16.89.32 преобразуется в 171.68.16.5. ICMP-пакет пересылается к точке назначения через интерфейс Ethernet1.

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [171]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0

В приведенных выходных данных можно увидеть пакет с адресом источника 171.68.1.1 и адресом назначения 171.68.16.5, который транслируется в 172.16.89.32. Итоговый пакет ICMP переправляется на интерфейс Serial1.

5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [171]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

Обмен пакетами ICMP продолжается. Процесс NAT для следующих выходных данных отладки аналогичен описанному выше.

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [172]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [172]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [173]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [173]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [174]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [174]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [175]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [175]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

Краткие выводы

Во-первых, когда пакет поступает из внешней сети во внутреннюю, сначала происходит трансляция, а потом для определения места назначения проверяется таблица маршрутизации. Когда пакет поступает из внутренней сети во внешнюю, сначала для определения места назначения проверяется таблица маршрутизации, а потом происходит трансляция. Дополнительная информация содержится в документе Порядок работы NAT.

Необходимо обратить внимание на то, какая часть IP-пакета транслируется при использовании каждой из приведенных выше команд. Узнать это можно из следующей таблицы.

Команда

Действие

ip nat outside source static

  • Транслирует источник IP-пакетов, перемещающихся снаружи внутрь.

  • Транслирует конечную точку IP-пакетов, проходящих снаружи внутрь.

ip nat inside source static

  • Транслирует источник IP-пакетов, перемещающихся снаружи внутрь.

  • Транслирует конечную точку IP-пакетов, перемещающихся снаружи внутрь.

Из этих указаний понятно, что существует несколько способов трансляции пакета. В зависимости от конкретных требований следует задать способ определения интерфейсов NAT (внутренний или внешний), а также какие маршруты должна содержать таблица маршрутизации до или после трансляции. Помните, что часть преобразуемого пакета зависит от направления перемещения пакета и от настройки NAT.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13773