نموذج تكوين باستخدام الأمر ip nat outside source list

المقدمة

يقدّم هذا المستند مثالاً على التكوين باستخدام الأمر "ip nat outside source list" ويتضمن وصفًا موجزًا لما يحدث لحِزمة IP أثناء عملية ترجمة عناوين الشبكة (NAT). يمكنك استخدام هذا الأمر لترجمة عنوان المصدر لحِزم IP التي تنتقل من خارج الشبكة إلى داخلها. يترجم هذا الإجراء عنوان الوجهة من حزم IP التي تنتقل في الإتجاه المعاكس- من الداخل إلى الخارج من الشبكة. هذا الأمر مفيد في مواقف مثل الشبكات المتداخلة، حيث تتداخل عناوين الشبكة الداخلية مع العناوين الموجودة خارج الشبكة. دعونا ننظر في مخطط الشبكة كمثال.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة. ومع ذلك، تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• الموجّهات من السلسلة 2500 من Cisco

• برنامج IOS^® الإصدار 12.2(24a) من Cisco الذي يعمل على جميع الموجهات

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

التكوين

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: للعثور على معلومات إضافية حول الأوامر المستخدمة في هذا المستند، أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط).

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

عندما يتم الحصول على إختبار الاتصال من واجهة Router 2514W Loopback0 (172.16.88.1) إلى واجهة Router 2501E Loopback0 (171.68.1.1)، يحدث هذا:

يرسل الموجه 2514W الحزم إلى الموجه 2514X لأنه تم تكوينه باستخدام مسار افتراضي. على الواجهة الخارجية للموجه 2514X، تحتوي الحزمة على عنوان مصدر (SA) بقيمة 172.16.88.1 وعنوان وجهة (DA) بقيمة 171.68.1.1. لأن ال SA مسموح به في access-list 1، أي يكون استعملت ب ip nat خارج مصدر قائمة أمر، هو ترجمت إلى عنوان من ال nat بركة Net171. لاحظ أن أمر ip nat خارج قائمة المصدر يشير إلى تجمع NAT "Net171". في هذه الحالة، يترجم العنوان إلى 171.68.16.10 أي يكون أول عنوان متاح في ال NAT بركة. بعد الترجمة، يبحث الموجه 2514X عن الوجهة في جدول التوجيه، ويوجه الحزمة. يرى الموجه 2501E الحزمة على الواجهة الواردة مع SA 171.68.16.10 و DA من 171.68.1.1. وهو يستجيب من خلال إرسال رد صدى بروتوكول رسائل التحكم في الإنترنت (ICMP) إلى 171.68.16.10. إذا لم يكن لديه مسار، فإنه يسقط الحزمة. في هذه الحالة، لديه مسار (افتراضي)، لذلك يرسل حزمة إلى الموجه 2514X، باستخدام SA من 171.68.1.1 و DA من 171.68.16.10. يرى الموجه 2514X الحزمة على الواجهة الداخلية الخاصة بها ويتحقق من مسار إلى عنوان 171.68.16.10. إذا لم يكن لديه واحد، فيرد باستخدام رد ICMP الذي يتعذر الوصول إليه. في هذه الحالة، لديه مسار إلى 171.68.16.10، بسبب خيار add-route الخاص بالأمر ip nat خارجي مصدر الذي يضيف مسار مضيف استنادا إلى الترجمة بين العنوان المحلي الخارجي العام والخارجي، لذلك يترجم الحزمة مرة أخرى إلى عنوان 172.16.88.1، ويوجه الحزمة إلى الواجهة الخارجية.

التكوينات

hostname 2514W 
!

!--- Output suppressed.
 
interface Loopback0 
 ip address 172.16.88.1 255.255.255.0 
!

!--- Output suppressed.
 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
!

!--- Output suppressed.
 
ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to 2514X. 

!

!--- Output suppressed.

hostname 2514X 
! 

!--- Output suppressed.

! 
interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 
 no ip mroute-cache 
 no ip route-cache 
!

!--- Output suppressed.
 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 ip nat outside 
 no ip mroute-cache 
 no ip route-cache 
 clockrate 2000000 
! 
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 

!--- NAT pool defining Outside Local addresses to be used for translation. 
!
ip nat outside source list 1 pool Net171 add-route

!--- Configures translation for Outside Global addresses !--- with the NAT pool. 

ip classless 
ip route 172.16.88.0 255.255.255.0 172.16.191.254 
ip route 171.68.1.0 255.255.255.0 171.68.192.201

!--- Static routes for reaching the loopback interfaces !--- on 2514W and 2501E.
 

access-list 1 permit 172.16.88.0 0.0.0.255 

!--- Access-list defining Outside Global addresses to be translated. 

!

!--- Output suppressed.

!

hostname 2501E 
! 

!--- Output suppressed.

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 

!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- Default route to forward packets to 2514X. 

!

!--- Output suppressed.

التحقق من الصحة

يوفر هذا القسم معلومات يمكنك إستخدامها للتأكد من أن التكوين يعمل بشكل صحيح.

يتم دعم بعض أوامر العرض بواسطة أداة مترجم الإخراج (العملاء المسجلون فقط)، والتي تتيح لك عرض تحليل إخراج أمر العرض.

يمكن إستخدام الأمر show ip nat translation للتحقق من إدخالات الترجمة، كما هو موضح في الإخراج أدناه.

2514X# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 171.68.1.1          171.68.1.1         171.68.16.10       172.16.88.1
--- ---                 ---                171.68.16.10       172.16.88.1

2514X#

يوضح الإخراج أعلاه أن العنوان العالمي الخارجي 172.16.88.1، وهو العنوان على واجهة Loopback0 للموجه 2514W، يتم ترجمته إلى العنوان المحلي الخارجي 171.68.16.10.

يمكنك إستخدام الأمر show ip route للتحقق من إدخالات جدول التوجيه، كما هو موضح:

2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       171.68.192.0/24 is directly connected, Ethernet1
S       171.68.1.0/24 [1/0] via 171.68.192.201
S       171.68.16.10/32 [1/0] via 172.16.88.1
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S       172.16.88.0/24 [1/0] via 172.16.191.254
C       172.16.191.252/30 is directly connected, Serial1
2514X#

يعرض الإخراج مسار /32 للعنوان المحلي الخارجي 171.68.16.10، والذي يتم إنشاؤه بسبب خيار add-route الخاص بالأمر ip nat خارجي المصدر. يستخدم هذا المسار لتوجيه الحزم التي تنتقل من الداخل إلى الخارج للشبكة وترجمتها.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

هذا الإخراج هو نتيجة تشغيل أوامر debug ip packet وdebug ip nat على الموجه 2514X، بينما يتم الضغط من عنوان الواجهة 2514W loopback0 للموجه (172.16.88.1) إلى عنوان واجهة الموجه 2501E loopback0 (171.68.1.1):

*Mar  1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95]

!--- The source address in the first packet arriving on !--- the outside interface is first translated. 

*Mar  1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via
RIB
*Mar  1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len
100, forward

!--- The ICMP echo request packet with the translated source address !--- is routed and forwarded on the inside interface. 
 
*Mar  1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via
RIB

!--- The ICMP echo reply packet arriving on the inside interface !--- is first routed based on the destination address. 
 
*Mar  1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95]

!--- The destination address in the packet is then translated. 
 

*Mar  1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1
00, forward

!--- The ICMP echo reply packet with the translated destination !--- address is forwarded on the outside interface. 

يتم تكرار الإجراء المذكور أعلاه لكل حزمة يتم استقبالها على الواجهة الخارجية.

ملخص

يكمن الاختلاف الرئيسي بين إستخدام أمر ip nat خارج قائمة المصدر (حركي nat) بدلا من الأمر ip nat خارجي مصدر ساكن إستاتيكي nat) في أنه لا توجد إدخالات في جدول الترجمة حتى يتحقق الموجه (المكون ل NAT) من معايير الترجمة للحزمة. في المثال أعلاه، تفي الحزمة مع SA 172.16.88.1 (التي تأتي إلى الواجهة الخارجية للموجه 2514X) بقائمة الوصول 1، المعايير المستخدمة من قبل أمر ip nat خارج قائمة المصدر. ولهذا السبب، يجب أن تنشأ الحزم من الشبكة الخارجية قبل أن تتمكن الحزم من الشبكة الداخلية من الاتصال بواجهة الموجه 2514W loopback0.

هناك شيئان مهمان يجب ملاحظتهما في هذا المثال.

أولا، عندما تنتقل الحزمة من الخارج إلى الداخل، تحدث الترجمة أولا، ثم يتم التحقق من جدول التوجيه للوجهة. عندما تنتقل الحزمة من الداخل إلى الخارج، يتم التحقق من جدول التوجيه للوجهة أولا، ثم تحدث الترجمة.

ثانيا، من المهم ملاحظة أي جزء من حزمة IP يتم ترجمته عند إستخدام كل من الأوامر الواردة أعلاه. يحتوي الجدول التالي على مخطط إرشادي:

تشير الإرشادات الواردة أعلاه إلى أن هناك أكثر من طريقة لترجمة الحزمة. حسب إحتياجاتك الخاصة، يجب عليك تحديد كيفية تعريف واجهات NAT (داخل أو خارج) والتوجيه الذي يجب أن يحتوي عليه جدول التوجيه قبل الترجمة أو بعدها. تذكر أن الجزء من الربط أن يكون ترجمت يعتمد على الإتجاه أن الربط يسافر، وكيف أنت يشكل nat.

معلومات ذات صلة

• ترجمة عنوان الشبكة على عصا
• nat تقنية دعم صفحة
• الدعم الفني - Cisco Systems