Para parceiros
A Tradução de Endereço de Rede (NAT) do Cisco IOS® foi projetada para a simplificação e a conservação do endereço IP. Isso permite a inter-redes IP privadas o uso de endereços IP não registrados para se conectarem à Internet. O NAT opera em um roteador Cisco que se conecta a duas redes juntas e traduz os endereços privados (dentro do local) na rede interna para endereços públicos (fora do local) antes dos pacotes serem encaminhados a outra rede. Como parte dessa funcionalidade, o NAT pode ser configurado para anunciar apenas um único endereço de toda a rede para o mundo externo. Isto oculta eficazmente a rede interna do mundo. Consequentemente, isso fornece uma segurança adicional.
Não existem requisitos específicos para este documento.
Este documento não se restringe a versões de software e hardware específicas.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Um dos principais recursos do NAT é a Conversão de Endereço de Porta (PAT - Port Address Translation) estática, também conhecida como "sobrecarga" em uma configuração do Cisco IOS. O PAT estático é projetado para permitir o mapeamento um para um entre endereços locais e globais. Um uso comum para PAT estático é permitir que usuários da Internet da rede pública acessem um servidor Web localizado na rede privada.
Para obter mais informações sobre a NAT, consulte as páginas de Suporte Técnico da NAT.
Esta tabela mostra os três blocos de espaço de endereço IP disponíveis para redes privadas. Consulte o RFC 1918 para obter mais detalhes sobre estas redes especiais.
Espaço do endereço IP | Classe |
---|---|
10.0.0.0 - 10.255.255.255 (10/8 prefix) | Classe A |
172.16.0.0 - 172.31.255.255 (prefixo 172.16/12) | Classe B |
192.168.0.0 - 192.168.255.255 (prefixo 192.168/16) | Classe C |
Observação: o primeiro bloco não é nada além de um único número de rede de classe A, enquanto o segundo bloco é um conjunto de 16 números contíguos de rede de classe B, e o terceiro bloco é um conjunto de 256 números contíguos de rede de classe C.
Neste exemplo, o provedor de serviços de Internet (ISP) atribui ao assinante DSL apenas um único endereço IP, 171.68.1.1/24. O endereço IP atribuído é um endereço IP exclusivo registrado e é chamado de endereço global interno. Esse endereço IP registrado é usado por toda a rede privada para navegar na Internet e também por usuários da Internet que vêm da rede pública para acessar o servidor Web na rede privada.
A LAN privada, 192.168.0.0/24, está conectada à interface Ethernet do roteador NAT. Esta LAN privada contém vários PCs e um servidor Web. O roteador NAT é configurado para converter os endereços IP não registrados (endereços locais internos) que vêm desses PCs em um único endereço IP público (global interno - 171.68.1.1) para navegar na Internet.
O endereço IP 192.168.0.5 (servidor Web) é um endereço no espaço de endereço privado que não pode ser roteado para a Internet. O único endereço IP visível para que os usuários públicos da Internet acessem o servidor Web é 171.68.1.1. Portanto, o roteador NAT é configurado para executar um mapeamento um a um entre o endereço IP 171.68.1.1 porta 80 (a porta 80 é usada para navegar na Internet) e a porta 80 192.168.0.5. Esse mapeamento permite que os usuários da Internet no lado público tenham acesso ao servidor Web interno.
Essa topologia de rede e configuração de exemplo podem ser usadas para a WIC ADSL Cisco 827, 1417, SOHO77 e 1700/2600/3600. Como exemplo, o Cisco 827 é usado neste documento.
Nesta seção, você verá as informações que podem ser usadas para configurar os recursos descritos neste documento.
Observação: para encontrar informações adicionais sobre os comandos usados neste documento, consulte a ferramenta IOS Command Lookup (somente clientes registrados) .
Este documento utiliza a seguinte configuração de rede.
Cisco 827 |
---|
Current Configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime ! hostname 827 ! ip subnet-zero no ip domain-lookup ! bridge irb ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip nat inside !--- This is the inside local IP address and it is a private IP address. ! interface ATM0 no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5snap ! bundle-enable dsl operating-mode auto bridge-group 1 ! interface BVI1 ip address 171.68.1.1 255.255.255.240 ip nat outside !--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP. ! ip nat inside source list 1 interface BVI1 overload !--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable !--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server. ip classless ip route 0.0.0.0 0.0.0.0 171.68.1.254 !--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address. ! access-list 1 permit 192.168.0.0 0.0.0.255 !--- This access list defines the private network !--- that is network address translated. bridge 1 protocol ieee bridge 1 route ip ! end |
Na saída do comando show ip nat translation, Inside local é o endereço IP configurado atribuído ao servidor Web na rede interna. Observe que 192.168.0.5 é um endereço no espaço de endereço privado que não pode ser roteado para a Internet. O global interno é o endereço IP do host interno, que é o servidor Web, como ele aparece para a rede externa. Este endereço é conhecido por pessoas que tentam acessar o servidor Web a partir da Internet.
O Outside local é o endereço IP do host externo conforme ele aparece na rede interna. Não é necessariamente um endereço legítimo. Mas é alocado de um espaço de endereço que pode ser roteado por dentro.
O endereço global externo é o endereço IP atribuído a um host na rede externa pelo proprietário do host. O endereço é alocado de um endereço ou espaço de rede que pode ser roteado globalmente.
Observe que o endereço 171.68.1.1 com o número de porta 80 (HTTP) é convertido para a porta 80 192.168.0.5 e vice-versa. Portanto, os usuários da Internet podem navegar no servidor Web mesmo que o servidor Web esteja em uma rede privada com um endereço IP privado.
Para obter mais informações sobre como solucionar problemas de NAT, consulte Verificando a operação de NAT e Troubleshooting Básico de NAT.
827# 827#show ip nat translation Pro Inside global Inside local Outside local Outside global tcp 171.68.1.1:80 192.168.0.5:80 --- --- tcp 171.68.1.1:80 192.168.0.5:80 198.133.219.1:11000 198.133.219.1:11000 827#
Para solucionar problemas de tradução de endereço, você pode emitir o termo mon e debug ip nat detailed comandos no roteador para ver se o endereço é convertido corretamente. O endereço IP visível para usuários externos acessarem o servidor Web é 171.68.1.1. Por exemplo, os usuários do lado público da Internet que tentam acessar a porta 80 (www) 171.68.1.1 são redirecionados automaticamente para a porta 80 (www) 192.168.0.5, que neste caso é o servidor Web.
827#term mon 827#debug ip nat detailed IP NAT detailed debugging is on 827# 03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1 03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0] <... snipped ...>
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
02-Dec-2013 |
Versão inicial |