A Tradução de Endereço de Rede (NAT) do Cisco IOS® foi projetada para a simplificação e a conservação do endereço IP. Isso permite a inter-redes IP privadas o uso de endereços IP não registrados para se conectarem à Internet. O NAT opera em um roteador Cisco que se conecta a duas redes juntas e traduz os endereços privados (dentro do local) na rede interna para endereços públicos (fora do local) antes dos pacotes serem encaminhados a outra rede. Como parte dessa funcionalidade, o NAT pode ser configurado para anunciar apenas um único endereço de toda a rede para o mundo externo. Isto oculta eficazmente a rede interna do mundo. Consequentemente, isso fornece uma segurança adicional.
Não existem requisitos específicos para este documento.
Este documento não se restringe a versões de software e hardware específicas.
Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.
Um dos recursos principais do NAT é a tradução de endereço da porta estática (PANCADINHA), que é referida igualmente como a “sobrecarga” em uma configuração do IOS da Cisco. O PAT estático é projetado permitir o mapeamento um a um entre endereços locais e globais. Um uso comum para o PAT estático é permitir que os usuários do Internet da rede pública alcancem um servidor de Web situado na rede privada.
A fim obter mais informação sobre o NAT, refira as páginas de suporte técnico NAT.
Esta tabela mostra os três blocos do espaço de endereços IP disponíveis para redes privadas. Consulte o RFC 1918 para mais detalhes sobre estas redes especiais.
O espaço de endereços IP | Classe |
---|---|
10.0.0.0 - 10.255.255.255 (10/8 prefix) | Classe A |
172.16.0.0 - 172.31.255.255 (prefixo 172.16/12) | Classe B |
192.168.0.0 - 192.168.255.255 (prefixo 192.168/16) | C da classe |
Note: O primeiro bloco não é nada mas um único network number da classe A, quando o segundo bloco for um grupo de 16 números da rede de classe B contígua, e o terceiro bloco são um grupo dos números da rede de classe C contígua 256.
Neste exemplo, o provedor de serviço do Internet (ISP) atribui ao assinante DSL somente um único endereço IP de Um ou Mais Servidores Cisco ICM NT, 171.68.1.1/24. O endereço IP atribuído é um endereço IP exclusivo registrado e é chamado um endereço global interno. Este endereço IP registrado é usado pela rede privada inteira para consultar o Internet e igualmente pelos usuários do Internet que vêm da rede pública alcançar o servidor de Web na rede privada.
A LAN privada, 192.168.0.0/24, é conectada à interface Ethernet do roteador NAT. Esta LAN privada contém diversos PC e um servidor de Web. O roteador NAT é configurado para traduzir os endereços IP não registrados (endereços locais internos) que vêm destes PC a um único endereço IP público (interior global - 171.68.1.1) consultar o Internet.
O endereço IP 192.168.0.5 (servidor de Web) é um endereço no espaço de endereço privado que não pode ser distribuído ao Internet. O único endereço IP visível para que os usuários de Internet públicas alcancem o servidor de Web é 171.68.1.1. Consequentemente, o roteador NAT é configurado para executar um mapeamento um a um entre a porta 80 do endereço IP 171.68.1.1 (a porta 80 é usada para consultar o Internet) e a porta 80 de 192.168.0.5. Este mapeamento permite que os usuários do Internet no lado público tenham o acesso ao servidor de Web interno.
Estas topologia de rede e configuração de exemplo podem ser usadas para o Cisco 827, 1417, SOHO77, e 1700/2600/3600 de ADSL WIC. Como um exemplo, o Cisco 827 é usado neste documento.
Nesta seção, você é presentado com a informação que você pode se usar para configurar as características descritas neste documento.
Note: A fim encontrar a informação adicional nos comandos usados neste documento, refira a ferramenta de pesquisa do comando IOS (clientes registrados somente).
Este documento utiliza a seguinte configuração de rede.
Cisco 827 |
---|
Current Configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime ! hostname 827 ! ip subnet-zero no ip domain-lookup ! bridge irb ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip nat inside !--- This is the inside local IP address and it is a private IP address. ! interface ATM0 no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5snap ! bundle-enable dsl operating-mode auto bridge-group 1 ! interface BVI1 ip address 171.68.1.1 255.255.255.240 ip nat outside !--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP. ! ip nat inside source list 1 interface BVI1 overload !--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable !--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server. ip classless ip route 0.0.0.0 0.0.0.0 171.68.1.254 !--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address. ! access-list 1 permit 192.168.0.0 0.0.0.255 !--- This access list defines the private network !--- that is network address translated. bridge 1 protocol ieee bridge 1 route ip ! end |
Da saída do comando show ip nat translation, o Inside Local é o endereço IP configurado atribuído ao servidor de Web na rede interna. Observe que 192.168.0.5 é um endereço no espaço de endereço privado que não pode ser distribuído ao Internet. O interior global é o endereço IP de Um ou Mais Servidores Cisco ICM NT do host interno, que é o servidor de Web, porque aparece à rede externa. Este endereço é esse conhecido aos povos que tentam alcançar o servidor de Web do Internet.
O local da parte externa é o endereço IP de Um ou Mais Servidores Cisco ICM NT do host exterior porque aparece à rede interna. Não é necessariamente um endereço legítimo. Mas, é atribuído de um espaço de endereços que possa ser distribuído no interior.
O endereço global externo é o endereço IP de Um ou Mais Servidores Cisco ICM NT atribuído a um host na rede externa pelo proprietário do host. O endereço é atribuído de um endereço ou de um espaço de rede que possam globalmente ser distribuídos.
Observe que o endereço 171.68.1.1 com número de porta 80 (HTTP) traduz a 192.168.0.5 a porta 80, e vice-versa. Consequentemente, os usuários do Internet podem consultar o servidor de Web mesmo que o servidor de Web esteja em uma rede privada com um endereço IP privado.
A fim obter mais informação sobre como pesquisar defeitos o NAT, refira a operação de NAT de verificação e o Troubleshooting de NAT básico.
827# 827#show ip nat translation Pro Inside global Inside local Outside local Outside global tcp 171.68.1.1:80 192.168.0.5:80 --- --- tcp 171.68.1.1:80 192.168.0.5:80 198.133.219.1:11000 198.133.219.1:11000 827#
A fim pesquisar defeitos a tradução de endereços, você pode emitir o termo segunda-feira e comandos debug ip nat detailed no roteador ver se o endereço traduz corretamente. O endereço IP visível para que os usuários externos alcancem o servidor de Web é 171.68.1.1. Por exemplo, os usuários do lado público do Internet que tentam alcançar a porta 80 de 171.68.1.1 (WWW) são reorientados automaticamente à porta 80 de 192.168.0.5 (WWW), que é neste caso o servidor de Web.
827#term mon 827#debug ip nat detailed IP NAT detailed debugging is on 827# 03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1 03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0] <... snipped ...>