In diesem Dokument wird erläutert, wie sich durch die Verwendung von Zugriffslisten im Vergleich zu Routenzuordnungen die Funktionalität der Network Address Translation (NAT) ändert. Weitere Informationen zu NAT finden Sie unter Cisco IOS NAT.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Router der Cisco 2500 Serie.
Cisco IOS®-Softwareversion 12.3(3).
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
NAT verwendet nur Zugriffslisten und Routenzuordnungen, wenn ein Übersetzungseintrag erstellt werden muss. Wenn bereits ein Übersetzungseintrag vorhanden ist, der mit dem Datenverkehr übereinstimmt, wird der Übersetzungseintrag verwendet. Zugriffslisten oder Routenpläne werden nicht eingesehen. Der Unterschied zwischen der Verwendung einer Zugriffsliste oder Route Map besteht in der Art des zu erstellenden Übersetzungseintrags.
Wenn NAT eine Routing-Map verwendet, um einen Übersetzungseintrag zu erstellen, wird immer ein "vollständig erweiterter" Übersetzungseintrag erstellt. Dieser Übersetzungseintrag enthält sowohl den internen als auch den externen (lokalen und globalen) Adresseintrag sowie alle TCP- oder UDP-Port-Informationen. Siehe NAT: Lokale und globale Definitionen für weitere Informationen über interne und externe (lokale und globale) Adressen.
Wenn NAT eine Zugriffsliste verwendet, um einen Übersetzungseintrag zu erstellen, wird ein "einfacher" Übersetzungseintrag erstellt. Dieser "einfache" Eintrag enthält nur lokale und globale IP-Adresseinträge für die interne oder externe Kommunikation, je nachdem, ob der Befehl ip nat inside oder ip nat outside konfiguriert ist. Außerdem enthält es keine TCP- oder UDP-Port-Informationen.
Wenn NAT eine Zugriffsliste verwendet und eine Überlastung angegeben wurde, erstellt NAT einen vollständig erweiterten Übersetzungseintrag. (Siehe Hinweis 1). Der Vorgang ähnelt dem route-map-Fall, mit der Ausnahme, dass route-map einige zusätzliche Funktionen aufweist. Weitere Informationen finden Sie in Hinweis 2. Sie können ein Beispiel für einen einfachen NAT-Übersetzungseintrag und einen vollständig erweiterten NAT-Übersetzungseintrag sehen, indem Sie einen der folgenden Links auswählen:
Das folgende Netzwerkdiagramm veranschaulicht den Unterschied zwischen einer Routing-Map und einer Zugriffsliste mit NAT:
In diesem Beispiel-Netzwerkdiagramm müssen Hosts unter 10.1.1.0 wie folgt übersetzt werden:
131.108.2.0 beim Wechsel zu 131.108.1.0
131.118.2.0 beim Wechsel zu 131.118.1.0
Bei einem Zugriffslistenansatz würden Sie die Hosts unter 10.1.1.0 wie folgt übersetzen:
ip nat pool pool108 131.108.2.1 131.108.2.254 prefix-length 24 !--- Defines a pool of global addresses to be allocated as needed. ip nat pool pool118 131.118.2.1 131.118.2.254 prefix-length 24 ip nat inside source list 108 pool pool108 !--- Establishes dynamic source translation, specifying the !--- access list defined below. ip nat inside source list 118 pool pool118 interface ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside !--- Marks the interface as connected to the inside. interface ethernet1 ip address 10.1.2.1 255.255.255.0 ip nat outside !--- Marks the interface as connected to the outside. access-list 108 permit ip 10.1.1.0 0.0.0.255 131.108.1.0 0.0.0.255 !--- Defines the access-list mentioning those addresses !--- that are to be translated. access-list 118 permit ip 10.1.1.0 0.0.0.255 131.118.1.0 0.0.0.255
Weitere Informationen zu diesen Befehlen finden Sie unter IP Addressing and Services Commands (IP-Adressierung und Dienstbefehle).
Folgendes geschieht, wenn Host 1 Telnet zu Host 2 wechselt.
Packet on (Network 1) s:10.1.1.2(1024) d:131.108.1.2(23) Packet on (Network 2) s:131.108.2.1(1024) d:131.108.1.2(23) (after NAT)
Da NAT eine Zugriffsliste verwendet hat, um diesen Datenverkehr abzugleichen, wird ein einfacher Übersetzungseintrag erstellt, der nur interne Übersetzungsinformationen und keine Protokoll- oder Port-Informationen enthält:
inside outside local global global local 10.1.1.2 131.108.2.1 ---- ----
Rücksendepaket: Host 2 an Host 1:
Packet on (Network 2) s:131.108.1.2(23) d:131.108.2.1(1024) Packet on (Network 1) s:131.108.1.2(23) d:10.1.1.2(1024) (after NAT)
Mit der obigen einfachen Übersetzung geschieht Folgendes, wenn Host 1 auch Telnet zu Host 3 nutzt:
Packet on (Network 1) s:10.1.1.2(1025) d:131.118.1.2(23) Packet on (Network 2) s:131.108.2.1(1025) d:131.118.1.2(23) (after NAT)
Sie sehen, dass es ein Problem gibt. Pakete zwischen 10.1.1.0-Hosts und 131.118.1.0-Hosts sollten in 131.118.2.0 übersetzt werden, nicht in 131.108.2.0. Dies liegt daran, dass bereits ein NAT-Übersetzungseintrag für 10.1.1.2 <—> 131.108.2.1, der auch dem Datenverkehr zwischen Host 1 und Host 3 entspricht. Daher wird dieser Übersetzungseintrag verwendet, und die Zugriffslisten 108 und 118 werden nicht überprüft.
Obwohl der einfache Übersetzungseintrag in der NAT-Übersetzungstabelle vorhanden ist, kann er von jedem externen Benutzer auf jedem externen Host verwendet werden, um ein Paket an Host 1 zu senden, solange der externe Benutzer die interne globale Adresse (131.108.2.1) für Host 1 verwendet. Normalerweise ist eine statische NAT-Übersetzung erforderlich, um dies zu ermöglichen.
Die richtige Vorgehensweise zum Konfigurieren des Beispiels in diesem Dokument besteht in der Verwendung von Routenzuordnungen. Bei einem Routing-Map-Ansatz würden Sie die Hosts unter 10.1.1.0 wie folgt übersetzen:
ip nat pool pool-108 131.108.2.1 131.108.2.254 prefix-length 24 ip nat pool pool-118 131.118.2.1 131.118.2.254 prefix-length 24 ip nat inside source route-map MAP-108 pool pool-108 !--- Establishes dynamic source translation, specifying !--- the route-map MAP-108 which is defined below. ip nat inside source route-map MAP-118 pool pool-118 !--- Establishes dynamic source translation, specifying the route-map MAP-118. !--- Here, the route-maps are consulted instead of !--- access-lists (as in the previous case). interface ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside interface ethernet1 ip address 10.1.2.1 255.255.255.0 ip nat outside access-list 108 permit ip 10.1.1.0 0.0.0.255 131.108.1.0 0.0.0.255 access-list 118 permit ip 10.1.1.0 0.0.0.255 131.118.1.0 0.0.0.255 route-map MAP-108 permit 10 !--- Defines the Route-map MAP-108. match ip address 108 !--- Specifies the criteria for translation. Here, the IP !--- address mentioned in the access-list 108 is translated. !--- The translation is defined in the !--- ip nat inside source route-map MAP-108 pool pool-108 command. route-map MAP-118 permit 10 !--- Defines the Route-map MAP-108. match ip address 118 !--- The IP address mentioned in the access-list 118 is translated. !--- The translation is defined in the !--- ip nat inside source route-map MAP-118 pool pool-118 command.
Weitere Informationen zu diesen Befehlen finden Sie unter IP Addressing and Services Commands (IP-Adressierung und Dienstbefehle).
Folgendes geschieht, wenn Host 1-Telnet zu Host 2:
Packet on (Network 1) s:10.1.1.2(1024) d:131.108.1.2(23) Packet on (Network 2) s:131.108.2.1(1024) d:131.108.1.2(23) (after NAT)
In diesem Fall erstellt NAT einen vollständig erweiterten Übersetzungseintrag, der sowohl interne als auch externe Übersetzungsdaten enthält, da NAT eine Routing-Map verwendet hat, um den zu übersetzenden Datenverkehr abzugleichen:
inside outside local global global local 10.1.1.2:1024 131.108.2.1:1024 131.108.1.2:23 131.108.1.2:23
Rücksendepaket: Host 2 an Host 1:
Packet on (Network 2) s:131.108.1.2(23) d:131.108.2.1(1024) Packet on (Network 1) s:131.108.1.2(23) d:10.1.1.2(1024) (after NAT)
Wenn nun Host 1 ein Paket an Host 3 sendet, wird Folgendes angezeigt:
Packet on (Network 1) s:10.1.1.2(1025) d:131.118.1.2(23) Packet on (Network 2) s:131.118.2.1(1025) d:131.118.1.2(23) (after NAT)
Die Übersetzung funktionierte ordnungsgemäß, da das Paket auf (N1) nicht mit dem vollständig erweiterten Übersetzungseintrag übereinstimmt, der für den Datenverkehr von Host 1 zu Host 2 verwendet wurde. Da die vorhandene Übersetzung nicht übereinstimmt, erstellt NAT einen weiteren Übersetzungseintrag für den Datenverkehr von Host 1 zu Host 3.
Dies sind die vollständig erweiterten Übersetzungseinträge auf dem NAT-Router:
inside outside local global global local 10.1.1.2:1024 131.108.2.1:1024 131.108.1.2:23 131.108.1.2:23 10.1.1.2:1025 131.118.2.1:1025 131.118.1.2:23 131.118.1.2:23
Da die NAT-Übersetzungstabelle über zwei vollständige Einträge verfügt, wird der Datenverkehr, der von derselben Quelle an die beiden unterschiedlichen Ziele geleitet wird, korrekt übersetzt.
Anders als der einfache Übersetzungseintrag, der über die Zugriffsliste erstellt wurde, kann der vollständig erweiterte Übersetzungseintrag, der über die Routenübersicht erstellt wurde, von keinem anderen externen Benutzer verwendet werden, um ein Paket an Host 1 zu senden. Hierfür ist eine statische NAT-Übersetzung erforderlich.
Bei einer Zugriffsliste mit Überlastung ähnelt die Konfiguration der Zugriffsliste ohne Überlastungsfall. Die Ausnahme ist, dass Sie das Schlüsselwort overload zum Befehl ip nat innerhalb der Quellliste 108 pool pool108 und ip nat innerhalb der Quellliste 118 pool pool118 hinzufügen müssen.
Der Vorteil von route-maps ist, dass Sie unter dem Befehl match mehr Optionen als die Quell-IP-Adresse haben können. Beispielsweise kann unter route-map eine Anpassungsschnittstelle oder match ip next-hop angegeben werden. Mithilfe von Route-Maps können Sie die IP-Adresse sowie die Schnittstelle oder die Next-Hop-Adresse angeben, an die das Paket weitergeleitet werden soll. Aus diesem Grund werden Routing-Maps mit NAT in einem Szenario verwendet, in dem der Teilnehmer Multi-Homing mit verschiedenen ISPs durchführt.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
10-Dec-2001
|
Erstveröffentlichung |