ip nat outside source static 명령을 사용하는 샘플 컨피그레이션

소개

이 문서에서는 ip nat outside source static 명령을 사용하여 샘플 컨피그레이션을 제공하며 NAT 프로세스 중 IP 패킷에 발생하는 사항에 대한 간략한 설명을 포함합니다.이 문서의 네트워크 토폴로지를 예로 들어 보겠습니다.

사전 요구 사항

요구 사항

이 컨피그레이션을 시도하기 전에 다음 요구 사항을 충족해야 합니다 - NAT:로컬 및 전역 정의.

자세한 내용은 이 문서의 관련 정보 섹션을 참조하십시오.

사용되는 구성 요소

이 문서의 정보는 Cisco IOS® Software Release 12.2(27)의 Cisco 2500 Series 라우터를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

이 섹션에서는 이 문서에서 설명하는 기능을 구성하는 데 필요한 정보를 제공합니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 문서에서 사용하는 명령에 대한 추가 정보를 찾습니다.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

라우터 2514W의 Loopback1 인터페이스에서 Router 2501E의 Loopback0 인터페이스로 향하는 Ping을 실행하면 다음과 같은 결과가 발생합니다.

라우터 2514X의 외부 인터페이스(S1)에서 ping 패킷은 SA(Source Address)가 172.16.89.32이고 DA(Destination Address)가 171.68.1.1인 상태로 표시됩니다. NAT는 SA를 외부 로컬 주소 171.68.16.5(라우터 2514X에 구성된 ip nat outside source static 명령에 따라)로 변환합니다. 그런 다음 라우터 2514X가 라우팅 테이블에서 171.68.1.1에 대한 경로를 확인합니다. 경로가 없으면 라우터 2514X가 패킷을 삭제합니다.이 경우 라우터 2514X에는 고정 경로를 통해 171.68.1.1로 171.68.1.0으로 연결되는 경로가 있습니다. 패킷을 대상에 전달합니다.라우터 2501E는 수신 인터페이스(E0)에서 SA가 171.68.16.5이고 DA가 171.68.1.1인 패킷을 확인합니다. ICMP(Internet Control Message Protocol) 에코 응답을 171.68.16.5에 보내 응답합니다. 경로가 없는 경우 패킷을 삭제합니다.그러나 이 경우 (기본) 경로가 있습니다.따라서 SA(171.68.1.1) 및 DA(171.68.16.5)을 사용하여 라우터 2514X에 응답 패킷을 전송합니다. 라우터 2514X는 패킷을 확인하고 171.68.16.5 주소로 가는 경로를 확인합니다.ICMP가 없는 경우 ICMP 도달 불가 응답으로 응답합니다.이 경우 171.68.16.5(고정 경로로 인해)로 가는 경로가 있습니다. 따라서 패킷을 다시 172.16.89.32 주소로 변환하고 외부 인터페이스(S1)로 전달합니다.

구성

이 문서에서는 다음 구성을 사용합니다.

• 라우터 2514W

• 라우터 2514X

• 라우터 2501E

hostname 2514W
!


!--- Output suppressed.

interface Loopback1
 ip address 172.16.89.32 255.255.255.0
!
interface Ethernet1
 no ip address
 no ip mroute-cache
!
interface Serial0
 ip address 172.16.191.254 255.255.255.252
 no ip mroute-cache
!

!--- Output suppressed.

ip classless
ip route 0.0.0.0 0.0.0.0 172.16.191.253

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.

hostname 2514X
!


!--- Output suppressed.

ip nat outside source static 172.16.89.32 171.68.16.5

!--- Outside local address.

!


!--- Output suppressed.

interface Ethernet1
 ip address 171.68.192.202 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 as a NAT inside interface.

 no ip mroute-cache
 no ip route-cache
!
interface Serial1
 ip address 172.16.191.253 255.255.255.252
 no ip route-cache
 ip nat outside

!--- Defines Serial 1 as a NAT outside interface.

 clockrate 2000000



!


!--- Output suppressed.

ip classless
ip route 171.68.1.0 255.255.255.0 171.68.192.201
ip route 171.68.16.0 255.255.255.0 172.16.191.254

!--- Static routes for reaching the loopback interfaces


!--- on 2514E and 2514W.

!


!--- Output suppressed.

hostname rp-2501E
!


!--- Output suppressed.

interface Loopback0
 ip address 171.68.1.1 255.255.255.0
!
interface Ethernet0
 ip address 171.68.192.201 255.255.255.0
!


!--- Output suppressed.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.192.202

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

Cisco CLI Analyzer(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다.Cisco CLI Analyzer를 사용하여 show 명령 출력의 분석을 봅니다.

이 출력에 표시된 대로 변환 항목을 확인하려면 show ip nat translations 명령을 사용합니다.

2514X#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                171.68.16.5        172.16.89.32
2514X#

문제 해결

이 예에서는 NAT 변환 디버깅 및 IP 패킷 디버깅을 사용하여 NAT 프로세스를 보여 줍니다.

참고: debug 명령은 상당한 양의 출력을 생성하므로 IP 네트워크의 트래픽이 낮을 때만 이 명령을 사용하여 시스템의 다른 작업이 부정적인 영향을 받지 않도록 합니다.

참고: debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

이 출력은 라우터 2514X에서 debug ip 패킷 및 debug ip nat 명령을 동시에 실행하는 한편 라우터 2514W 루프백1 인터페이스 주소(172.16.89.32)에서 라우터 2501E0 루프백 인터페이스 주소(171.68.1.1)으로 ping을 실행하여 얻은 결과입니다.

이 출력은 라우터 2514X의 외부 인터페이스에 도착하는 첫 번째 패킷을 보여줍니다.172.16.89.32의 소스 주소가 171.68.16.5으로 변환됩니다. ICMP 패킷은 Ethernet1 인터페이스를 통해 목적지로 전달됩니다.

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [171]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0

이 출력은 목적지 주소가 171.68.16.5인 171.68.1.1에서 소싱된 반환 패킷을 172.16.89.32으로 변환합니다. 결과 ICMP 패킷은 Serial1 인터페이스에서 전달됩니다.

5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [171]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

ICMP 패킷의 교환은 계속됩니다.이 디버그 출력의 NAT 프로세스는 이전 출력과 동일합니다.

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [172]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [172]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [173]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [173]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [174]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [174]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [175]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [175]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

요약

패킷이 외부에서 내부로 이동할 때 먼저 변환이 발생한 다음 목적지에 대한 라우팅 테이블을 확인합니다.패킷이 내부에서 외부로 이동할 때 먼저 대상에 대해 라우팅 테이블을 확인한 다음 변환이 발생합니다.자세한 내용은 NAT Order of Operation을 참조하십시오.

이 문서에서 설명하는 각 명령을 사용할 때 IP 패킷의 어느 부분이 변환되는지 확인하는 것이 중요합니다.이 표에는 지침이 포함되어 있습니다.

이러한 지침은 패킷을 변환하는 방법이 두 가지 이상임을 나타냅니다.특정 요구 사항에 따라 NAT 인터페이스(내부 또는 외부)를 정의하는 방법과 변환 전 또는 후에 라우팅 테이블에 포함해야 할 경로를 결정해야 합니다.변환된 패킷의 부분은 패킷이 이동하는 방향과 NAT를 구성하는 방법에 따라 달라집니다.

관련 정보

• 샘플 컨피그레이션 ip nat outside source list 명령 사용
• 네트워크 주소 변환 구성:시작하기
• NAT 지원 페이지
• 기술 지원 및 문서 − Cisco Systems