Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

Introduction

A Tradução de Endereço de Rede (NAT) do Cisco IOS® foi projetada para a simplificação e a conservação do endereço IP. Isso permite a inter-redes IP privadas o uso de endereços IP não registrados para se conectarem à Internet. O NAT opera em um roteador Cisco que se conecta a duas redes juntas e traduz os endereços privados (dentro do local) na rede interna para endereços públicos (fora do local) antes dos pacotes serem encaminhados a outra rede. Como parte dessa funcionalidade, o NAT pode ser configurado para anunciar apenas um único endereço de toda a rede para o mundo externo. Isto oculta eficazmente a rede interna do mundo. Consequentemente, isso fornece uma segurança adicional.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Informações de Apoio

Um dos principais recursos do NAT é a Conversão de Endereço de Porta (PAT - Port Address Translation) estática, também conhecida como "sobrecarga" em uma configuração do Cisco IOS. O PAT estático é projetado para permitir o mapeamento um para um entre endereços locais e globais. Um uso comum para PAT estático é permitir que usuários da Internet da rede pública acessem um servidor Web localizado na rede privada.

Para obter mais informações sobre a NAT, consulte as páginas de Suporte Técnico da NAT.

Esta tabela mostra os três blocos de espaço de endereço IP disponíveis para redes privadas. Consulte o RFC 1918 para obter mais detalhes sobre estas redes especiais.

Observação: o primeiro bloco não é nada além de um único número de rede de classe A, enquanto o segundo bloco é um conjunto de 16 números contíguos de rede de classe B, e o terceiro bloco é um conjunto de 256 números contíguos de rede de classe C.

Neste exemplo, o provedor de serviços de Internet (ISP) atribui ao assinante DSL apenas um único endereço IP, 171.68.1.1/24. O endereço IP atribuído é um endereço IP exclusivo registrado e é chamado de endereço global interno. Esse endereço IP registrado é usado por toda a rede privada para navegar na Internet e também por usuários da Internet que vêm da rede pública para acessar o servidor Web na rede privada.

A LAN privada, 192.168.0.0/24, está conectada à interface Ethernet do roteador NAT. Esta LAN privada contém vários PCs e um servidor Web. O roteador NAT é configurado para converter os endereços IP não registrados (endereços locais internos) que vêm desses PCs em um único endereço IP público (global interno - 171.68.1.1) para navegar na Internet.

O endereço IP 192.168.0.5 (servidor Web) é um endereço no espaço de endereço privado que não pode ser roteado para a Internet. O único endereço IP visível para que os usuários públicos da Internet acessem o servidor Web é 171.68.1.1. Portanto, o roteador NAT é configurado para executar um mapeamento um a um entre o endereço IP 171.68.1.1 porta 80 (a porta 80 é usada para navegar na Internet) e a porta 80 192.168.0.5. Esse mapeamento permite que os usuários da Internet no lado público tenham acesso ao servidor Web interno.

Essa topologia de rede e configuração de exemplo podem ser usadas para a WIC ADSL Cisco 827, 1417, SOHO77 e 1700/2600/3600. Como exemplo, o Cisco 827 é usado neste documento.

Configurar

Nesta seção, você verá as informações que podem ser usadas para configurar os recursos descritos neste documento.

Observação: para encontrar informações adicionais sobre os comandos usados neste documento, consulte a ferramenta IOS Command Lookup (somente clientes registrados) .

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede.

Configuração

Current Configuration:
! 
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 

!--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network !--- that is network address translated. 

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

Verificar

Na saída do comando show ip nat translation, Inside local é o endereço IP configurado atribuído ao servidor Web na rede interna. Observe que 192.168.0.5 é um endereço no espaço de endereço privado que não pode ser roteado para a Internet. O global interno é o endereço IP do host interno, que é o servidor Web, como ele aparece para a rede externa. Este endereço é conhecido por pessoas que tentam acessar o servidor Web a partir da Internet.

O Outside local é o endereço IP do host externo conforme ele aparece na rede interna. Não é necessariamente um endereço legítimo. Mas é alocado de um espaço de endereço que pode ser roteado por dentro.

O endereço global externo é o endereço IP atribuído a um host na rede externa pelo proprietário do host. O endereço é alocado de um endereço ou espaço de rede que pode ser roteado globalmente.

Observe que o endereço 171.68.1.1 com o número de porta 80 (HTTP) é convertido para a porta 80 192.168.0.5 e vice-versa. Portanto, os usuários da Internet podem navegar no servidor Web mesmo que o servidor Web esteja em uma rede privada com um endereço IP privado.

Para obter mais informações sobre como solucionar problemas de NAT, consulte Verificando a operação de NAT e Troubleshooting Básico de NAT.

827#
827#show ip nat translation
Pro Inside global      Inside local      Outside local       Outside global
tcp 171.68.1.1:80      192.168.0.5:80    ---                 ---
tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000
827#

Troubleshoot

Para solucionar problemas de tradução de endereço, você pode emitir o termo mon e debug ip nat detailed comandos no roteador para ver se o endereço é convertido corretamente. O endereço IP visível para usuários externos acessarem o servidor Web é 171.68.1.1. Por exemplo, os usuários do lado público da Internet que tentam acessar a porta 80 (www) 171.68.1.1 são redirecionados automaticamente para a porta 80 (www) 192.168.0.5, que neste caso é o servidor Web.

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>

Informações Relacionadas

• Informação de suporte de tecnologia Cisco DSL
• Informações de suporte do produto
• Suporte Técnico e Documentação - Cisco Systems

Histórico de revisões