Beispielkonfiguration mithilfe des statischen Befehls "ip nat outside source static"

Download-Optionen

  • PDF     (190.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (98.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (98.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:3. Januar 2018
Dokument-ID:13773

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    Dieses Dokument enthält eine Beispielkonfiguration unter Verwendung des Befehls ip nat external source static und eine kurze Beschreibung dessen, was mit dem IP-Paket während des NAT-Prozesses geschieht. Betrachten Sie die Netzwerktopologie in diesem Dokument als Beispiel.

    Voraussetzungen

    Anforderungen

    Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie diese Konfiguration versuchen - NAT: Lokale und globale Definitionen.

    Weitere Informationen finden Sie im Abschnitt Zugehörige Informationen dieses Dokuments.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf Cisco Routern der Serie 2500 in der Cisco IOS® Softwareversion 12.2(27) .

    Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

    Konfigurieren

    In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

    Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den Befehlen zu finden, die in diesem Dokument verwendet werden.

    Netzwerkdiagramm

    In diesem Dokument wird diese Netzwerkeinrichtung verwendet.

    2a.gif

    Wenn Sie einen Ping ausgeben, der von der Loopback1-Schnittstelle des Routers 2514W stammt und für die Loopback0-Schnittstelle des Router 2501E bestimmt ist, geschieht Folgendes:

    Auf der externen Schnittstelle (S1) des Routers 2514X wird das Ping-Paket mit der Quelladresse (SA) von 172.16.89.32 und der Zieladresse (DA) von 171.68.1.1 angezeigt. NAT übersetzt den SA in die externe lokale Adresse 171.68.16.5 (entsprechend dem auf Router 2514X konfigurierten Befehl ip nat external source static). Router 2514X überprüft dann seine Routing-Tabelle auf eine Route zu 171.68.1.1. Wenn die Route nicht vorhanden ist, verwirft der Router 2514X das Paket. In diesem Fall führt der Router 2514X eine Route zu 171.68.1.1 über die statische Route zu 171.68.1.0. Er leitet das Paket an das Ziel weiter. Router 2501E erkennt das Paket an seiner eingehenden Schnittstelle (E0) mit einer SA von 171.68.16.5 und einer DA von 171.68.1.1. Die Antwort lautet: Senden Sie eine ICMP-Echoantwort (Internet Control Message Protocol) an 171.68.16.5. Wenn keine Route vorhanden ist, wird das Paket verworfen. In diesem Fall hat er jedoch die (Standard-)Route. Daher sendet er ein Antwortpaket mit einer SA von 171.68.1.1 und einer DA von 171.68.16.5 an Router 2514X. Router 2514X erkennt das Paket und prüft die Route zur Adresse 171.68.16.5. Verfügt sie nicht über eine Antwort, antwortet sie mit einer nicht erreichbaren ICMP-Antwort. In diesem Fall wird eine Route nach 171.68.16.5 (aufgrund der statischen Route) verwendet. Daher wird das Paket zurück an die Adresse 172.16.89.32 übersetzt und an die externe Schnittstelle (S1) weitergeleitet.

    Konfigurationen

    In diesem Dokument werden folgende Konfigurationen verwendet:

    Router 2514 W 
    hostname 2514W
!


!--- Output suppressed.

interface Loopback1
 ip address 172.16.89.32 255.255.255.0
!
interface Ethernet1
 no ip address
 no ip mroute-cache
!
interface Serial0
 ip address 172.16.191.254 255.255.255.252
 no ip mroute-cache
!

!--- Output suppressed.

ip classless
ip route 0.0.0.0 0.0.0.0 172.16.191.253

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.

    Router 2514X 
    hostname 2514X
!


!--- Output suppressed.

ip nat outside source static 172.16.89.32 171.68.16.5

!--- Outside local address.

!


!--- Output suppressed.

interface Ethernet1
 ip address 171.68.192.202 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 as a NAT inside interface.

 no ip mroute-cache
 no ip route-cache
!
interface Serial1
 ip address 172.16.191.253 255.255.255.252
 no ip route-cache
 ip nat outside

!--- Defines Serial 1 as a NAT outside interface.

 clockrate 2000000



!


!--- Output suppressed.

ip classless
ip route 171.68.1.0 255.255.255.0 171.68.192.201
ip route 171.68.16.0 255.255.255.0 172.16.191.254

!--- Static routes for reaching the loopback interfaces


!--- on 2514E and 2514W.

!


!--- Output suppressed.

    Router 2501E 
    hostname rp-2501E
!


!--- Output suppressed.

interface Loopback0
 ip address 171.68.1.1 255.255.255.0
!
interface Ethernet0
 ip address 171.68.192.201 255.255.255.0
!


!--- Output suppressed.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.192.202

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.

    Überprüfen

    In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Der Cisco CLI Analyzer (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie den Cisco CLI Analyzer, um eine Analyse der Ausgabe des Befehls show anzuzeigen.

    Verwenden Sie den Befehl show ip nat translation, um die Übersetzungseinträge zu überprüfen, wie diese Ausgabe zeigt. 

    2514X#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                171.68.16.5        172.16.89.32
2514X#

    Fehlerbehebung

    In diesem Beispiel wird das NAT-Übersetzungsdebuggen und das IP-Paket-Debuggen verwendet, um den NAT-Prozess zu veranschaulichen.

    Hinweis: Da die Debug-Befehle eine erhebliche Ausgabenmenge generieren, sollten Sie diese nur verwenden, wenn der Datenverkehr im IP-Netzwerk gering ist, sodass andere Aktivitäten im System nicht negativ beeinflusst werden.

    Hinweis: Beachten Sie vor der Verwendung von Debug-Befehlen die Informationen zu Debug-Befehlen.

    Diese Ausgabe ist das Ergebnis der gleichzeitigen Ausführung der Befehle debug ip packet und debug ip nat auf Router 2514X während des Pings vom Router 2514W Loopback1 Schnittstellenadresse (172.16.89.32) zum Router 2501E Loop. back0-Schnittstellenadresse (171.68.1.1)

    Diese Ausgabe zeigt das erste Paket, das an der externen Schnittstelle des Routers 2514X eingeht. Die Quelladresse von 172.16.89.32 wird in 171.68.16.5 übersetzt. Das ICMP-Paket wird über die Ethernet1-Schnittstelle an das Ziel weitergeleitet. 

    5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [171]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0

    Diese Ausgabe zeigt das von 171.68.1.1 bezogene Rückgabepaket mit der Zieladresse 171.68.16.5, das in 172.16.89.32 übersetzt wird. Das resultierende ICMP-Paket wird über die Serial1-Schnittstelle weitergeleitet. 

    5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [171]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

    Der Austausch von ICMP-Paketen wird fortgesetzt. Der NAT-Prozess für diese Debug-Ausgabe ist mit der vorherigen Ausgabe identisch. 

    5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [172]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [172]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [173]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [173]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [174]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [174]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [175]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [175]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

    Zusammenfassung

    Wenn das Paket von außen nach innen übertragen wird, wird zuerst die Übersetzung durchgeführt, und anschließend wird die Routing-Tabelle auf das Ziel überprüft. Wenn das Paket von innen nach außen übertragen wird, wird zuerst die Routing-Tabelle für das Ziel geprüft, und anschließend wird die Übersetzung durchgeführt. Weitere Informationen finden Sie in der NAT-Operationsreihenfolge.

    Es ist wichtig zu beachten, welcher Teil des IP-Pakets übersetzt wird, wenn Sie die in diesem Dokument beschriebenen Befehle verwenden. Diese Tabelle enthält eine Richtlinie:

    Befehl Aktion
    ip nat externe Quelle statisch
    • Übersetzt die Quelle der IP-Pakete, die von außen nach innen übertragen werden.
    • Übersetzt das Ziel der IP-Pakete, die innerhalb des Netzwerks nach außen übertragen werden.
    ip nat inside source static
    • Übersetzt die Quelle von IP-Paketen, die von innen nach außen übertragen werden.
    • Übersetzt das Ziel der IP-Pakete, die von außen nach innen reisen.

    Diese Richtlinien weisen darauf hin, dass es mehrere Möglichkeiten gibt, ein Paket zu übersetzen. Abhängig von Ihren spezifischen Anforderungen sollten Sie festlegen, wie die NAT-Schnittstellen (innerhalb oder außerhalb) definiert werden und welche Routen die Routing-Tabelle vor oder nach der Übersetzung enthalten soll. Beachten Sie, dass der Teil des Pakets, der übersetzt wird, von der Route des Pakets und der Konfiguration von NAT abhängt.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    03-Jan-2018
    Erstveröffentlichung

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren