Configurazione della procedura di conversione degli indirizzi di rete, o NAT (Network Address Translation), e degli indirizzi di porta statici per supportare un server Web interno

Opzioni per il download

PDF (327.9 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (107.2 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (119.2 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:9 aprile 2007

ID documento:12905

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

Prerequisiti

Requisiti

Componenti usati

Convenzioni

Premesse

Configurazione

Esempio di rete

Configurazione

Verifica

Risoluzione dei problemi

Informazioni correlate

Introduzione

Cisco IOS® Network Address Translation (NAT) è progettato per la semplificazione e la conservazione degli indirizzi IP. Permette di connettersi a Internet alle reti IP private che usano indirizzi IP non registrati. La NAT viene eseguita sui router Cisco che connettono due reti e converte gli indirizzi privati (locali interni) della rete interna in indirizzi pubblici (locali esterni) prima che i pacchetti vengano inoltrati a un'altra rete. Come parte di questa funzionalità, è possibile configurare la NAT in modo che all'esterno venga annunciato un unico indirizzo valido per l'intera rete. In questo modo è possibile nascondere efficacemente la rete interna al mondo esterno e avere una maggiore sicurezza.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Premesse

Una delle caratteristiche principali di NAT è la PAT (Port Address Translation) statica, nota anche come "sovraccarico" in una configurazione Cisco IOS. Il percorso statico è progettato per consentire il mapping uno a uno tra indirizzi locali e globali. Un utilizzo comune di PAT statico consiste nel consentire agli utenti Internet della rete pubblica di accedere a un server Web nella rete privata.

Per ulteriori informazioni su NAT, fare riferimento alle pagine di supporto tecnico NAT.

Nella tabella vengono mostrati i tre blocchi di spazio di indirizzi IP disponibili per le reti private. Per ulteriori dettagli su queste reti speciali, consultare la RFC 1918.

Spazio indirizzi IP	Classe
10.0.0.0 - 10.255.255.255 (prefisso 10/8 )	Classe A
172.16.0.0 - 172.31.255.255 (prefisso 172.16/12 )	Classe B
192.168.0.0 - 192.168.255.255 (prefisso 192.168/16 )	Classe C

Nota: il primo blocco non è altro che un singolo numero di rete di classe A, mentre il secondo blocco è un set di 16 numeri di rete di classe B contigui e il terzo blocco è un set di 256 numeri di rete di classe C contigui.

Nell'esempio, il provider di servizi Internet (ISP) assegna all'abbonato DSL un solo indirizzo IP, 171.68.1.1/24. L'indirizzo IP assegnato è un indirizzo IP univoco registrato e viene definito indirizzo globale interno. Questo indirizzo IP registrato viene utilizzato dall'intera rete privata per esplorare Internet e anche dagli utenti che provengono dalla rete pubblica per raggiungere il server Web nella rete privata.

La LAN privata, 192.168.0.0/24, è connessa all'interfaccia Ethernet del router NAT. Questa LAN privata contiene diversi PC e un server Web. Il router NAT è configurato in modo da convertire gli indirizzi IP non registrati (all'interno degli indirizzi locali) provenienti da questi PC in un unico indirizzo IP pubblico (all'interno del modello globale - 171.68.1.1) per esplorare Internet.

L'indirizzo IP 192.168.0.5 (server Web) è un indirizzo nello spazio degli indirizzi privato che non può essere instradato a Internet. L'unico indirizzo IP visibile per gli utenti Internet pubblici per raggiungere il server Web è 171.68.1.1. Pertanto, il router NAT è configurato per eseguire un mapping uno-a-uno tra l'indirizzo IP 171.68.1.1 porta 80 (la porta 80 viene utilizzata per esplorare Internet) e la porta 192.168.0.5 porta 80. Questa mappatura consente agli utenti di Internet del lato pubblico di accedere al server Web interno.

Questa topologia di rete e configurazione di esempio può essere utilizzata per i Cisco 827, 1417, SOHO77 e 1700/2600/3600 ADSL WIC. Ad esempio, in questo documento viene usato Cisco 827.

Configurazione

In questa sezione vengono presentate le informazioni che è possibile utilizzare per configurare le funzionalità descritte più avanti nel documento.

Nota: per ulteriori informazioni sui comandi menzionati in questo documento, consultare lo strumento di ricerca dei comandi di IOS (solo utenti registrati).

Esempio di rete

Nel documento viene usata questa impostazione di rete.

Configurazione

Cisco 827
Current Configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime ! hostname 827 ! ip subnet-zero no ip domain-lookup ! bridge irb ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip nat inside !--- This is the inside local IP address and it is a private IP address. ! interface ATM0 no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5snap ! bundle-enable dsl operating-mode auto bridge-group 1 ! interface BVI1 ip address 171.68.1.1 255.255.255.240 ip nat outside !--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP. ! ip nat inside source list 1 interface BVI1 overload !--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable !--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server. ip classless ip route 0.0.0.0 0.0.0.0 171.68.1.254 !--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address. ! access-list 1 permit 192.168.0.0 0.0.0.255 !--- This access list defines the private network !--- that is network address translated. bridge 1 protocol ieee bridge 1 route ip ! end

Cisco 827

Current Configuration:
! 
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 

!--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network !--- that is network address translated. 

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

Verifica

Dall'output del comando show ip nat translation, l'indirizzo locale interno è l'indirizzo IP configurato assegnato al server Web sulla rete interna. Si noti che 192.168.0.5 è un indirizzo nello spazio degli indirizzi privato che non può essere instradato a Internet. Il globale Interno è l'indirizzo IP dell'host interno, che è il server Web, come appare alla rete esterna. Questo indirizzo è quello noto agli utenti che tentano di accedere al server Web da Internet.

Il locale esterno è l'indirizzo IP dell'host esterno così come appare alla rete interna. Non è necessariamente un indirizzo legittimo. ma viene allocato da uno spazio di indirizzi che può essere instradato all'interno.

L'indirizzo globale esterno è l'indirizzo IP assegnato a un host sulla rete esterna dal proprietario dell'host. L'indirizzo viene allocato da un indirizzo o da uno spazio di rete che è possibile instradare globalmente.

Si noti che l'indirizzo 171.68.1.1 con numero di porta 80 (HTTP) viene convertito nella porta 80 192.168.0.5 e viceversa. Pertanto, gli utenti Internet possono esplorare il server Web anche se il server Web si trova in una rete privata con un indirizzo IP privato.

Per ulteriori informazioni su come risolvere i problemi relativi a NAT, fare riferimento alle sezioni Verifica del funzionamento NAT e Risoluzione dei problemi NAT di base.

827#
827#show ip nat translation
Pro Inside global      Inside local      Outside local       Outside global
tcp 171.68.1.1:80      192.168.0.5:80    ---                 ---
tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000
827#

Risoluzione dei problemi

Per risolvere i problemi relativi alla conversione degli indirizzi, è possibile usare i termini mon e debug ip nat detail sul router per verificare che l'indirizzo sia stato tradotto correttamente. L'indirizzo IP visibile per gli utenti esterni per raggiungere il server Web è 171.68.1.1. Ad esempio, gli utenti della parte pubblica di Internet che tentano di raggiungere la porta 80 (www) 171.68.1.1 vengono automaticamente reindirizzati alla porta 80 (www) 192.168.0.5, che in questo caso è il server Web.

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>

Informazioni correlate

Cronologia delle revisioni

Revisione	Data di pubblicazione	Commenti
1.0	02-Dec-2013	Versione iniziale

Questo documento ti è stato utile?

Feedback

Contattaci

Apri una richiesta di assistenza
(Occorre un contratto di servizio Cisco)

Questo documento si applica a questi prodotti

800 Series Routers