使用IP NAT命令進行配置

下載選項

  • PDF     (439.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (92.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (89.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2022 年 11 月 4 日
文件 ID:218383

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹使用ip nat outside source static命令和IP資料包從NAT過程得到的配置。

    必要條件

    需求

    思科建議您瞭解以下主題:

    採用元件

    本檔案中的資訊是根據Cisco IOS®軟體版本12.2(27)上的Cisco 2500系列路由器。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    本文檔提供了使用ip nat outside source static命令的示例配置,並簡要說明了IP資料包在NAT過程中發生了什麼情況。以本文中的網路拓撲為例。

    設定

    注意:使用命令查詢工具查詢有關本文檔使用的命令的更多資訊。只有註冊的思科使用者才能訪問內部工具和資訊。

    網路圖表

    本檔案會使用此網路設定。

    Network Diagram網路圖表

    當您發出從路由器2514W Loopback1介面發往路由器2501E Loopback0介面的ping時,會發生以下情況:

    • 在路由器2514X的外部介面(S1)上,ping資料包顯示源地址(SA)為172.16.89.32,目的地址(DA)為172.16.68.1。
    • NAT將SA轉換為外部本地地址172.16.68.5(對應於在路由器2514X上配置的ip nat outside source static命令)。
    • 然後,路由器2514X檢查其路由表是否有到達172.16.68.1的路由。
    • 如果該路由不存在,Router 2514X將丟棄該資料包。在本例中,路由器2514X具有通過靜態路由到達172.16.68.1的路由,該路由到達了172.31.1.0。 將封包轉送到目的地。
    • 路由器2501E在其傳入介面(E0)上看到資料包的SA為172.16.68.5,DA為172.16.68.1。
    • 向172.16.68.5傳送網際網路控制消息協定(ICMP)回應應答。如果沒有路由,它會丟棄資料包。
    • 但是此案例中的路由是(預設)。
    • 因此,它會向路由器2514X傳送一個應答資料包,其SA為172.16.68.1,DA為172.16.68.5。
    • 路由器2514X會看到該資料包,並檢查通往172.16.68.5地址的路由。
    • 如果沒有回應,則會使用ICMP無法到達回覆進行回應。
    • 在本例中,它有一個通往172.16.68.5的路由(由於靜態路由)。
    • 因此,它將資料包轉換回172.16.89.32地址,並將其從外部介面(S1)轉發出去。

    組態

    本檔案會使用以下設定:

    路由器2514W 
    hostname 2514W
!


!--- Output suppressed.

interface Loopback1
 ip address 172.16.89.32 255.255.255.0
!
interface Ethernet1
 no ip address
 no ip mroute-cache
!
interface Serial0
 ip address 172.16.191.254 255.255.255.252
 no ip mroute-cache
!

!--- Output suppressed.

ip classless
ip route 0.0.0.0 0.0.0.0 172.16.191.253

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.
    路由器2514X 
    hostname 2514X
!


!--- Output suppressed.

ip nat outside source static 172.16.89.32 172.16.68.5

!--- Outside local address.

!


!--- Output suppressed.

interface Ethernet1
 ip address 172.31.192.202 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 as a NAT inside interface.

 no ip mroute-cache
 no ip route-cache
!
interface Serial1
 ip address 172.16.191.253 255.255.255.252
 no ip route-cache
 ip nat outside

!--- Defines Serial 1 as a NAT outside interface.

 clockrate 2000000

!


!--- Output suppressed.

ip classless
ip route 172.31.1.0 255.255.255.0 172.31.192.201
ip route 172.31.16.0 255.255.255.0 172.16.191.254

!--- Static routes for reaching the loopback interfaces


!--- on 2514E and 2514W.

!


!--- Output suppressed.
    路由器2501E 
    hostname rp-2501E
!


!--- Output suppressed.

interface Loopback0
 ip address 172.16.68.1 255.255.255.0
!
interface Ethernet0
 ip address 172.31.192.201 255.255.255.0
!


!--- Output suppressed.

ip classless
ip route 0.0.0.0 0.0.0.0 172.31.192.202

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.

    驗證

    注意:只有註冊的思科使用者才能訪問內部工具和資訊。

    使用Cisco CLI Analyzer檢視show 指令輸出的分析。 Cisco CLI Analyzer(OIT)支援多個show 指令。 

    使用show ip nat translations命令檢查轉換條目,如以下輸出所示:

    2514X#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                172.16.68.5        172.16.89.32
2514X#

    疑難排解

    此示例使用NAT轉換調試和IP資料包調試來演示NAT過程。

    注意:由於debug命令會產生大量輸出,因此僅在IP網路流量較低時才使用它們,以免對系統上的其他活動造成不利影響。

    附註:使用 debug 指令之前,請先參閱有關 Debug 指令的重要資訊。

    當您在路由器2514X上同時使用debug ip packetdebug ip nat命令,同時從路由器2514W loopback1介面地址(172.16.89.32)對路由器2501 E loopback0介面地址(172.16.68.1)執行ping操作時,將產生以下輸出。

    此輸出顯示了到達路由器2514X外部介面的第一個資料包。源地址172.16.89.32被轉換為172.16.68.5。將ICMP資料包從Ethernet1介面轉發到目的地。

    5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [171]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0

    此輸出顯示了來源為172.16.68.1、目的地址為172.16.68.5的返回資料包,該資料包被轉換為172.16.89.32。產生的ICMP資料包從Serial1介面轉發出去。

    5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [171]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

    ICMP資料包的交換繼續進行。此調試輸出的NAT過程與先前的輸出相同。

    5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [172]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [172]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [173]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [173]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [174]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [174]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [175]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [175]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

    摘要

    當資料包從外部傳輸到內部時,首先進行轉換,然後檢查路由表以查詢目標。當資料包從內部傳輸到外部時,首先檢查路由表以查詢目標,然後進行轉換。有關詳細資訊,請參閱NAT操作順序

    不要參與IP資料包在使用前面每個命令時轉換的部分。此表包含准則:

    指令 動作
    ip nat outside source static
    • 轉換從外部傳輸到內部的IP資料包的源。
    • 轉換從內部傳輸到外部的IP資料包的目的地。
    ip nat inside source static
    • 轉換從內部傳輸到外部的IP資料包的源。
    • 轉換從外部傳送到內部的IP資料包的目的地。

    這些准則表明有多個方法可以轉換資料包。根據您的特定需求,您需要確定如何定義NAT介面(內部或外部),以及路由表在轉換之前或之後包含哪些路由。請記住,資料包的轉換部分取決於資料包的傳輸方向,以及如何配置NAT。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    04-Nov-2022
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Marin Grabovschi
      Cisco Technical Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品