Configurando a tradução de endereço de rede: Getting Started

Introduction

Este documento explica configurando a tradução de endereço de rede (NAT) em um roteador Cisco para o uso em encenações da rede comum. O público alvo deste documento são os usuários NAT iniciantes.

Observação: neste documento, quando a Internet, ou um dispositivo de Internet é chamado, significa um dispositivo em qualquer rede externa.

Prerequisites

Requirements

Este documento exige um conhecimento básico dos termos usados em relação ao NAT. Algumas das definições podem ser encontradas no NAT: Definições locais e globais.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco 2500 Series Routers

• Cisco IOS® Software, Versão 12.2(10b)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Passos para o início rápido para configuração e implementação de NAT

Quando você configura o NAT, é às vezes difícil saber onde começar, especialmente se você é novo ao NAT. Estas etapas guiam-no para definir o que você quer o NAT fazer e como o configurar:

1. Defina as interfaces interna e externa de NAT.

   • Os usuários existem fora das interfaces múltiplas?

   • Há várias interfaces conectadas à Internet?

2. Defina o que você está tentando executar com o NAT.

   • Você está tentando permitir que os usuários internos alcancem a Internet?

   • Você está tentando permitir que a Internet tenha acesso a dispositivos internos (como um servidor de correio ou servidor de Web)?

   • Está tentando redirecionar o tráfego de TCP para outra porta ou endereço de TCP?

   • Você está usando o NAT durante uma transição de rede (por exemplo, você mudou o endereço IP de um server e até você pode atualizar todos os clientes que você quer os clientes NON-actualizados poder alcançar o server usando o endereço IP original assim como permitir que os clientes actualizados alcancem o server usando o endereço novo)?

   • Você está usando o NAT para permitir que as redes sobreposta comuniquem-se?

3. Configure o NAT para realizar o que definiu acima. Baseado no que você definiu na etapa 2, você precisa de determinar qual das seguintes características a se usar:

   • NAT Estático

   • NAT dinâmica

   • Sobrecarga

   • Alguma combinação do acima

4. Verifique a operação NAT.

Cada um destes exemplos de NAT guia-o com etapas 1 a 3 dos passos para início rápido acima. Estes exemplos descrevem alguns cenários comuns em que Cisco o recomenda distribui o NAT.

Definindo interfaces interna e externa de NAT

A primeira etapa para distribuir o NAT é definir interfaces NAT interna e externa. Talvez você considere mais fácil definir sua rede interna como “dentro” e a rede externa como “fora”. Entretanto, os termos interno e externo também estão sujeitos à arbitragem. Esta figura mostra um exemplo desta.

Exemplo: Permitindo que usuários internos tenham acesso à Internet

Você pode querer permitir que os usuários internos acessem a Internet, mas você pode não ter endereços válidos suficientes para acomodar a todos. Se toda a comunicação com os dispositivos na Internet origina dos dispositivos internos, você precisa um único endereço válido ou um pool dos endereços válidos.

Esta figura mostra um diagrama simples de rede com as interfaces do roteador definidas como o interior e a parte externa:

Neste exemplo, você quer que o NAT permita que determinados dispositivos (os primeiros 31 de cada sub-rede) no interior originem uma comunicação com os dispositivos na parte externa traduzindo seu endereço inválido a um endereço válido ou a um conjunto de endereço. O pool foi definido como o intervalo de endereços de 172.16.10.1 a 172.16.10.63.

Agora você está pronto para configurar o NAT. A fim de realizar o que é definido acima, use o NAT dinâmico. Com NAT dinâmico, a tabela de tradução no roteador está inicialmente vazia e é povoada uma vez que o tráfego que precisa de ser traduzido passa através do roteador. Ao contrário do NAT estático, onde uma tradução estaticamente é configurada e colocada na tabela de tradução sem a necessidade para todo o tráfego.

Neste exemplo, você pode configurar o NAT para traduzir cada um dos dispositivos internos a um endereço válido exclusivo, ou para traduzir cada um dos dispositivos internos ao mesmo endereço válido. Este segundo método é conhecido como o sobrecarregamento. Um exemplo de como configurar cada método é dado aqui.

Configurando NAT para permitir que usuários internos acessem a Internet

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.

 
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
 !

!--- Defines a NAT pool named no-overload with a range of addresses !--- 172.16.10.1 - 172.16.10.63.


ip nat inside source list 7 pool no-overload 
 !
 !

!--- Indicates that any packets received on the inside interface that !--- are permitted by access-list 7 has !--- the source address translated to an address out of the !--- NAT pool "no-overload".


access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from !--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.
 

Observação: a Cisco recomenda que você não configure listas de acesso referenciadas por comandos NAT com permit any. Usar o permitir todos pode resultar que o NAT consuma muitos recursos de roteador que podem causar problemas de rede.

Observe que na configuração precedente somente os primeiros 32 endereços da sub-rede 10.10.10.0 e os primeiros 32 endereços da sub-rede 10.10.20.0 são permitidos pelo access-list 7. Portanto, somente estes endereços de origem são traduzidos. Pode haver outros dispositivos com outros endereços na rede interna, mas estes não são traduzidos.

A etapa final é verificar se o NAT está operando como planejado.

Configurando NAT para permitir que usuários internos acessem a Internet usando sobrecarga

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
 !

!--- Defines a NAT pool named ovrld with a range of a single IP !--- address, 172.16.10.1.


ip nat inside source list 7 pool ovrld overload
 !
 !
 !
 !

!--- Indicates that any packets received on the inside interface that !--- are permitted by access-list 7 has the source address !--- translated to an address out of the NAT pool named ovrld. !--- Translations are overloaded, which allows multiple inside !--- devices to be translated to the same valid IP address. 

access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from !--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.
 

Note que na segunda configuração precedente, o conjunto NAT “ovrld " tem somente uma escala de um endereço. A sobrecarga de palavra-chave usada no comando ip nat inside source list 7 pool ovrld overload permite que o NAT traduza dispositivos internos múltiplos ao único endereço no pool.

Outra variação desse comando é o ip nat dentro da sobrecarga de interface serial 0 da lista de origem 7, que configura NAT para sobrecarga no endereço que é atribuído à interface serial 0.

Quando a sobrecarrega é configurada, o roteador mantem bastante informação dos protocolos de nível mais altos (por exemplo, números de porta TCP ou UDP) para traduzir o endereço global de volta ao endereço local correto. Para definições de endereço global e local, refira ao NAT: Definições Globais e Locais.

A etapa final é verificar se o NAT está operando como planejado.

Exemplo: Permitindo que a Internet acesse dispositivos internos

Talvez os dispositivos internos precisem trocar informações com dispositivos na Internet; nesse caso, a comunicação, como um e-mail, é iniciada nos dispositivos na Internet. Normalmente, os dispositivos na Internet enviam e-mails para um servidor de e-mail que reside na rede interna.

Configurando o NAT para permitir que a Internet acesse dispositivos internos

Neste exemplo, você define primeiramente as interfaces NAT interna e externa, segundo as indicações do diagrama da rede precedente.

Em segundo, você define que você quer usuários no interior poder originar uma comunicação com a parte externa. Os dispositivos na parte externa devem poder originar uma comunicação com somente o servidor de mail no interior.

A terceira etapa é configurar o NAT. Para realizar o que você definiu, você pode configurar o NAT estático e dinâmico junto. Para obter mais informações sobre de como configurar este exemplo, refira configurar o NAT estático e dinâmico simultaneamente.

A etapa final é verificar se o NAT está operando como planejado.

Exemplo: Redirecionando o tráfego TCP para outra porta TCP ou endereço

Possuir um servidor da Web na rede interna é outro exemplo de quando pode ser necessário para os dispositivos na internet iniciarem a comunicação com dispositivos internos. Em alguns casos o servidor de Web interno pode ser configurado para escutar o tráfego de web em uma porta TCP a não ser a porta 80. Por exemplo, o servidor de Web interno pode ser configurado para escutar a porta TCP 8080. Nesse caso, você pode usar NAT para redirecionar o tráfego destinado à porta TCP 80 para a porta TCP 8080.

Depois que você define as relações segundo as indicações do diagrama da rede precedente, você pode decidir que você quer o NAT reoriente os pacotes da parte externa destinada para 172.16.10.8:80 a 172.16.10.8:8080. Você pode usar um comando static nat a fim traduzir o número de porta de TCP para conseguir isto. Uma configuração de exemplo é mostrada aqui.

Configurando a NAT para redirecionar tráfego TCP para outra porta ou outro endereço TCP

interface ethernet 0 
 ip address 172.16.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 200.200.200.5 255.255.255.252
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Static NAT command that states any packet received in the inside !--- interface with a source IP address of 172.16.10.8:8080 is !--- translated to 172.16.10.8:80. 

Note que a descrição de configuração para o comando static nat indica que todo o pacote recebido na interface interna com um endereço de origem de 172.16.10.8:8080 está traduzido a 172.16.10.8:80. Isto igualmente implica que todo o pacote recebido na interface externa com um endereço de destino de 172.16.10.8:80 tem o destino traduzido a 172.16.10.8:8080.

A etapa final é verificar se o NAT está operando como planejado.

show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
tcp 172.16.10.8:80     172.16.10.8:8080   ---                ---

Exemplo: Utilizando NAT durante uma transição de rede

O NAT de distribuição é útil quando você precisa de especificar um novo endereço dispositivos na rede ou quando você substitui um dispositivo com o outro. Por exemplo, se todos os dispositivos no uso da rede um servidor particular e este server precisam de ser substituídos com um novo que tenha um endereço IP novo, a reconfiguração de todos os dispositivos de rede para usar o endereço do servidor novo toma alguma hora. Entretanto, você pode usar o NAT a fim configurar os dispositivos com o endereço velho para traduzir seus pacotes para comunicar-se com o server novo.

Uma vez que você definiu o NAT conecta como mostrado acima, você pode decidir que você quer o NAT permitir pacotes da parte externa destinada para o endereço do servidor velho (172.16.10.8) a ser traduzido e enviado ao endereço do servidor novo. Observe que o novo servidor está em outra LAN e os dispositivos nessa LAN ou outros dispositivos acessáveis por meio dessa LAN (dispositivos na parte interna da rede) devem ser configurados para usar o endereço IP dos novos servidores, se possível.

É possível utilizar a NAT estática para realizar o que você necessita. Esta é uma configuração de exemplo.

Configurando o NAT para uso durante uma transição de rede

interface ethernet 0
 ip address 172.16.10.1 255.255.255.0
 ip nat outside

!--- Defines Ethernet 0 with an IP address and as a NAT outside interface.


interface ethernet 1
 ip address 172.16.50.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 200.200.200.5 255.255.255.252

!--- Defines serial 0 with an IP address. This interface is not !--- participating in NAT.


ip nat inside source static 172.16.50.8 172.16.10.8

!--- States that any packet received on the inside interface with a !--- source IP address of 172.16.50.8 is translated to 172.16.10.8.

Note que o comando inside source nat neste exemplo igualmente implica que os pacotes recebidos na interface externa com um endereço de destino de 172.16.10.8 têm o endereço de destino traduzido a 172.16.50.8.

A etapa final é verificar se o NAT está operando como planejado.

Exemplo: Utilizando NAT em redes sobrepostas

A sobreposição de redes ocorre quando você atribui endereços IP a dispositivos internos que já estão sendo usados por outros dispositivos na Internet. As redes sobreposta igualmente resultarem quando duas empresas, ambos de quem endereços IP do RFC 1918 do uso em suas redes, fusão. Essas duas redes precisam se comunicar, de preferência sem ter que endereçar novamente todos os seus dispositivos. Refira a utilização do NAT nas redes sobreposta para obter mais informações sobre da configuração do NAT por esse motivo.

Diferença entre o mapeamento um a um e Muito-à-Muitos

Uma configuração do NAT estático cria um mapeamento um a um e traduz um endereço específico a um outro endereço. O este tipo de configuração cria uma entrada permanente na tabela NAT enquanto a configuração esta presente e a permite tanto dentro como fora dos anfitriões de iniciar uma conexão. Isto é na maior parte útil para os anfitriões que fornecem serviços de aplicativo como o correio, Web, FTP e assim por diante. Por exemplo:

Router(config)#ip nat inside source static 10.3.2.11 10.41.10.12
 Router(config)#ip nat inside source static 10.3.2.12 10.41.10.13

O NAT dinâmico é útil quando menos endereços estão disponíveis do que o número real de anfitriões a ser traduzidos. Cria uma entrada na tabela NAT quando o host inicia uma conexão e estabelece um mapeamento um a um entre os endereços. Mas, o traço pode variar e depende em cima do endereço registrado disponível no pool na altura da comunicação. O NAT dinâmico permite que as sessões sejam iniciadas somente do interior ou as redes externas para que é configurado. As entradas NAT dinâmicas estão removidas da tabela de tradução se o host não se comunica por um período de tempo específico que seja configurável. O endereço é retornado então ao pool para o uso de um outro host.

Por exemplo, termine estas etapas da configuração detalhada:

1. Crie um conjunto de endereço

   Router(config)#ip nat pool MYPOOLEXAMPLE 
   10.41.10.1 10.41.10.41 netmask 255.255.255.0
   

2. Crie uma lista de acesso para as redes internas que tenha que ser traçada

   Router(config)#access-list 100 permit ip 
   10.3.2.0 0.0.0.255 any
   

3. Associe a lista de acesso 100 que está selecionando a rede interna 10.3.2.0 0.0.0.255 para ser natted ao pool MYPOOLEXAMPLE e sobrecarregue então os endereços.

   Router(config)#ip nat inside source list 100 pool 
   		MYPOOLEXAMPLE overload
   

Verificando a operação de NAT

Uma vez que você configurou o NAT, verifique que se está operando como esperado. Você pode fazer isso de diversas formas: usando um analisador de rede, comandos show, ou comandos debug. Para um exemplo detalhado da verificação NAT, refira a verificação da operação de NAT e do Troubleshooting de NAT básico.

Conclusão

Os exemplos neste original demonstram passos para início rápido podem ajudá-lo a configurar e distribuir o NAT. Estão entre as etapas de início rápido:

1. Definindo interfaces internas e externas de NAT.

2. Definindo o que você está tentando realizar com NAT.

3. Configurando o NAT a fim realizar o que você definiu em etapa 2.

4. Verificando a operação de NAT.

Em cada um dos exemplos anteriores, os vários formulários do comando ip nat inside foram usados. Você pode igualmente usar o comando ip nat outside a fim realizar os mesmos objetivos, mas mantem na mente o ordem de operação NAT. Para os exemplos de configuração que usam os comandos ip nat outside, refira a configuração de exemplo usando o comando ip nat outside source list e a configuração de exemplo usando o comando ip nat outside source static.

Os exemplos anteriores igualmente demonstraram estas ações:

Informações Relacionadas

• Página de suporte de NAT
• Página de suporte aos protocolos de roteamento IP
• Página de Suporte do IP Routing
• Como funciona o NAT
• Ordem de Operação NAT
• Perguntas mais frequentes sobre o Cisco IOS NAT
• Suporte Técnico e Documentação - Cisco Systems