Introduction
Este documento descreve uma configuração que usa o comando ip nat outside source static e os resultados dos pacotes IP do processo NAT.
Prerequisites
Requirements
A Cisco recomenda ter conhecimento deste tópico:
Componentes Utilizados
As informações neste documento são baseadas nos Cisco 2500 Series Routers no Cisco IOS® Software Release 12.2(27) .
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Este documento fornece uma configuração de exemplo com o uso do comando ip nat outside source static e inclui uma breve descrição do que acontece ao pacote IP durante o processo de NAT. Considere a topologia de rede neste documento como um exemplo.
Configurar
Observação: use a Command Lookup Tool para encontrar informações adicionais sobre os comandos que este documento usa. Somente usuários registrados da Cisco têm acesso a ferramentas e informações internas.
Diagrama de Rede
Este documento utiliza a seguinte configuração de rede.
Diagrama de Rede
Quando você emite um ping originado da interface Loopback1 do Roteador 2514W destinado à interface Loopback0 do Roteador 2501E, isso é o que acontece:
- Na interface externa (S1) do Roteador 2514X, o pacote ping aparece com um Endereço de Origem (SA) de 172.16.89.32 e um Endereço de Destino (DA) de 172.16.68.1.
- O NAT converte o SA para o Endereço Local Externo 172.16.68.5 (correspondente ao comando ip nat outside source static configurado no roteador 2514X).
- O roteador 2514x verifica, então, a tabela de roteamento para obter uma rota para 172.16.68.1.
- Se a rota não existir, o Roteador 2514X descarta o pacote. Nesse caso, o roteador 2514X tem uma rota para 172.16.68.1 através da rota estática para 172.31.1.0. Encaminha o pacote para o destino.
- O roteador 2501E vê o pacote em sua interface de entrada (E0) com um SA de 172.16.68.5 e um DA de 172.16.68.1.
- Ele envia uma resposta de eco do Internet Control Message Protocol (ICMP) para 172.16.68.5. Se não tiver uma rota, ele descarta o pacote.
- No entanto, nesse caso, ele tem a rota (padrão).
- Portanto, ele envia um pacote de resposta ao Roteador 2514X, com SA de 172.16.68.1 e DA de 172.16.68.5.
- O roteador 2514x detecta o pacote e verifica se há uma rota para o endereço 172.16.68.5.
- Caso não haja um, ele responde com uma resposta de ICMP inalcançável.
- Nesse caso, ele tem uma rota para 172.16.68.5 (devido à rota estática).
- Portanto, ele converte o pacote de volta para o endereço 172.16.89.32 e o encaminha por sua interface externa (S1).
Configurações
Este documento utiliza as seguintes configurações:
Roteador 2514W |
hostname 2514W
!
!--- Output suppressed.
interface Loopback1
ip address 172.16.89.32 255.255.255.0
!
interface Ethernet1
no ip address
no ip mroute-cache
!
interface Serial0
ip address 172.16.191.254 255.255.255.252
no ip mroute-cache
!
!--- Output suppressed.
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.191.253
!--- Default route to forward packets to 2514X.
!
!--- Output suppressed.
|
Roteador 2514x |
hostname 2514X
!
!--- Output suppressed.
ip nat outside source static 172.16.89.32 172.16.68.5
!--- Outside local address.
!
!--- Output suppressed.
interface Ethernet1
ip address 172.31.192.202 255.255.255.0
ip nat inside
!--- Defines Ethernet 1 as a NAT inside interface.
no ip mroute-cache
no ip route-cache
!
interface Serial1
ip address 172.16.191.253 255.255.255.252
no ip route-cache
ip nat outside
!--- Defines Serial 1 as a NAT outside interface.
clockrate 2000000
!
!--- Output suppressed.
ip classless
ip route 172.31.1.0 255.255.255.0 172.31.192.201
ip route 172.31.16.0 255.255.255.0 172.16.191.254
!--- Static routes for reaching the loopback interfaces
!--- on 2514E and 2514W.
!
!--- Output suppressed.
|
Roteador 2501e |
hostname rp-2501E
!
!--- Output suppressed.
interface Loopback0
ip address 172.16.68.1 255.255.255.0
!
interface Ethernet0
ip address 172.31.192.201 255.255.255.0
!
!--- Output suppressed.
ip classless
ip route 0.0.0.0 0.0.0.0 172.31.192.202
!--- Default route to forward packets to 2514X.
!
!--- Output suppressed.
|
Verificar
Observação: somente usuários registrados da Cisco podem acessar ferramentas e informações internas.
Use o Cisco CLI Analyzer para exibir uma análise da saída do comando show. O Cisco CLI Analyzer (OIT) suporta vários comandos show.
Use o comando show ip nat translations para verificar as entradas de conversão, como mostra esta saída:
2514X#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- --- --- 172.16.68.5 172.16.89.32
2514X#
Troubleshoot
Este exemplo usa a depuração de tradução NAT e a depuração de pacote IP para demonstrar o processo NAT.
Observação: como os comandos debug geram uma quantidade significativa de saída, use-os somente quando o tráfego na rede IP estiver baixo, para que outra atividade no sistema não seja afetada adversamente.
Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
Essa saída é o resultado quando você usa os comandos debug ip packet e debug ip nat simultaneamente no Roteador 2514X, ao fazer ping do endereço da interface loopback1 do Roteador 2514W (172.16.89.32) para o endereço da interface loopback0 do Roteador 2501 E (172.16.68.1).
Esta saída mostra o primeiro pacote que chega à interface externa do Roteador 2514X. O endereço de origem 172.16.89.32 é traduzido para 172.16.68.5. O pacote ICMP é encaminhado para o destino fora da interface Ethernet1.
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [171]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
Esta saída mostra o pacote de retorno originado em 172.16.68.1 com um endereço destino de 172.16.68.5, que é convertido em 172.16.89.32. O pacote ICMP resultante é encaminhado para fora da interface Serial1.
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [171]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
A troca de pacotes ICMP continua. O processo NAT para essa saída de depuração é o mesmo da saída anterior.
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [172]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [172]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [173]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [173]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [174]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [174]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [175]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [175]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
Summary
Quando o pacote trafega de fora para dentro, a conversão ocorre primeiro e, em seguida, a tabela de roteamento é verificada quanto ao destino. Quando o pacote trafega de dentro para fora, a tabela de roteamento é verificada primeiro quanto ao destino e, em seguida, ocorre a conversão. Consulte Ordem de Operação do NAT para obter mais informações.
Não considere a parte do pacote IP que é traduzida quando usada com cada um dos comandos anteriores. Esta tabela contém as diretrizes:
Comando |
Ação |
ip nat fora da estática de origem |
- Converte a origem dos pacotes IP que trafegam de fora para dentro.
- Converte o destino dos pacotes IP que trafegam de dentro para fora.
|
ip nat inside source static |
- Converte a origem dos pacotes IP que trafegam de dentro para fora.
- Converte o destino dos pacotes IP que trafegam de fora para dentro.
|
Essas diretrizes indicam que há mais de uma forma de converter um pacote. Com base nas suas necessidades específicas, você precisa determinar como definir as interfaces NAT (internas ou externas) e quais rotas a tabela de roteamento contém antes ou depois da conversão. Lembre-se de que a parte do pacote que é traduzida depende da direção em que o pacote trafega e de como você configura o NAT.
Informações Relacionadas