المقدمة
يصف هذا وثيقة كيف أن يشكل ودققت شبكة عنوان ترجمة (NAT) ومرتين nat.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- nat
- النظام الأساسي NXOS
- فهم الإيثاناليزر
المكونات المستخدمة
| الاسم |
بالتفورم |
الإصدار |
| N9K1 |
N9K-C93108TC-EX |
9.3(10) |
| N9K2 |
N9K-C93108TC-EX |
9.3(10) |
| N9K3 |
N9K-C93108TC-EX
|
9.3(10)
|
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الرسم التخطيطي للشبكة
تكوين الترجمة العمومية داخل IP
داخل Global IP:10.1.1.1
داخل IP المحلي:192.168.1.1
| N9K1 |
N9K2 |
N9K3 |
interface Ethernet1/1
ip address 10.10.10.10/24
no shut
interface loopback 0
ip address 10.1.1.1/32
ip route 0.0.0.0/0 10.10.10.1
|
feature nat
ip access-list tac-nat-inside
permit ip host 10.1.1.1 any
ip nat pool tac-nat-inside-pool 192.168.1.1 192.168.1.1 prefix-length 32
ip nat inside source list tac-nat-inside pool tac-nat-inside-pool dynamic add-route
interface Ethernet1/1
ip nat inside
ip address 10.10.10.11/24
no shut
interface Ethernet1/2
ip nat outside
ip address 10.20.20.21/24
no shut
ip route 10.3.3.3/32 10.20.20.20
ip route 10.1.1.1/32 10.10.10.10
|
interface Ethernet1/2
ip address 10.20.20.20/24
no shut
interface loopback 0
ip address 10.3.3.3/32
ip route 0.0.0.0/0 10.20.20.21
|
ملاحظة: بما أن IP 192.168.1.1 غير موجود فعليا على أي جهاز، يجب أن يكون ل Nexus مسار صالح لإعادة توجيه حركة مرور البيانات إلى هذا IP. يمكن تكوين إدخال مسار ثابت يدوي "إضافة مسار" في نهاية قائمة nat. يقوم Nexus تلقائيا بإنشاء مسار نحو IP المترجم الذي يشير إلى الخطوة التالية من IP غير المترجم.
التحقق من عمومية الترجمة داخل IP
| N9K1 |
N9K2 |
N9K3 |
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on inband
1 2023-09-09 00:34:03.617811110 10.3.3.3 → 10.1.1.1 ICMP 158 Echo (ping) request id=0xd923, seq=0/0, ttl=254
|
sh ip nat translations
Pro Inside global Inside local Outside local Outside global
any 192.168.1.1 10.1.1.1 --- ---
show ip route 192.168.1.1
192.168.1.1/32, ubest/mbest: 1/0
via 10.10.10.10 [1/0], 00:48:06, NAT
|
HOST2# ping 192.168.1.1 source 10.3.3.3
PING 192.168.1.1 (192.168.1.1) from 10.3.3.3: 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=253 time=1.175 ms
|
| يستلم N9K1 الحزمة المترجمة الموجهة إلى 10.1.1.1. |
تتم ترجمة N9K2 داخل IP المحلي (192.168.1.1) إلى Inside global IP (10.1.1.1). باستخدام الأمر "إضافة مسار" يتم إنشاء مسار نحو المسار المترجم تلقائيا نظرا لأن Nexus له تكوين داخلي فقط، فإن Nexus يعرض المعلومات الداخلية فقط. |
تقوم N9K2 بتهيئة إختبار اتصال إلى داخل IP المحلي 192.168.1.1 . |
تكوين الترجمة من IP العمومي خارج
خارج IP العالمي:10.3.3.3
خارج IP المحلي:172.16.3.3
| N9K1 |
N9K2 |
N9K3 |
interface Ethernet1/1
ip address 10.10.10.11/24
no shut
interface loopback 0
ip address 10.1.1.1/32
ip route 0.0.0.0/0 10.10.10.11
|
feature nat
ip access-list tac-nat-outside
permit ip host 10.3.3.3 any
ip nat pool tac-nat-outisde-pool 172.16.3.3 172.16.3.3 prefix-length 32
ip nat outside source list tac-nat-outside pool tac-nat-outisde-pool dynamic add-route
interface Ethernet1/1
ip nat inside
ip address 10.10.10.11/24
no shut
interface Ethernet1/2
ip nat outside
ip address 10.20.20.21/24
no shut
ip route 10.3.3.3/32 10.20.20.20
ip route 10.1.1.1/32 10.10.10.10
|
interface Ethernet1/2
ip address 10.20.20.20/24
no shut
interface loopback 0
ip address 10.3.3.3/32
ip route 0.0.0.0/0 10.20.20.21
|
ملاحظة: بما أن IP 172.16.3.3 غير موجود فعليا على أي جهاز، يجب أن يكون ل Nexus مسار صالح لإعادة توجيه حركة مرور البيانات إلى IP هذا. يمكن تكوين إدخال مسار ثابت يدوي "إضافة مسار" في نهاية قائمة nat. يقوم Nexus بإنشاء مسار نحو IP المترجم الذي يشير إلى الخطوة التالية من IP غير المترجم.
التحقق من الترجمة من IP العمومي خارج
| N9K1 |
N9K2 |
N9K3 |
ping 172.16.3.3 source 10.1.1.1
PING 172.16.3.3 (172.16.3.3) from 10.1.1.1: 56 data bytes
64 bytes from 172.16.3.3: icmp_seq=0 ttl=253 time=1.103 ms
|
sh ip nat translations
Pro Inside global Inside local Outside local Outside global
any --- --- 172.16.3.3 10.3.3.3
show ip route 172.16.3.3
172.16.3.3/32, ubest/mbest: 1/0
via 10.20.20.20 [1/0], 00:48:06, NAT
|
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on 'ps-inb'
1 2023-09-09 00:34:03.617811110 10.1.1.1 → 10.3.3.3 ICMP 158 Echo (ping) request id=0xd923, seq=0/0, ttl=254
|
| تقوم N9K1 بتهيئة إختبار اتصال إلى IP خارجي 172.16.3.3. |
تتم ترجمة N9K2 خارج IP المحلي (192.168.3.3) إلى IP العالمي الخارجي (10.3.3.3). باستخدام الأمر "إضافة مسار" يتم إنشاء مسار نحو المسار المترجم تلقائيا نظرا لأن Nexus به تكوين خارجي فقط، فإن Nexus يعرض المعلومات الخارجية فقط. |
N9K3 يستقبل الحزمة المترجمة الموجهة إلى 10.3.3.3 . |
تكوين عنوان IP العالمي للترجمة داخل/خارج (مرتين nat)
خارج IP العالمي:10.3.3.3
خارج IP المحلي:172.16.3.3
داخل Global IP:10.1.1.1
داخل IP المحلي:192.168.1.1
| N9K1 |
N9K2 |
N9K3 |
interface Ethernet1/1
ip address 10.10.10.11/24
no shut
interface loopback 0
ip address 10.1.1.1/32
ip route 0.0.0.0/0 10.10.10.11
|
feature nat
ip access-list tac-nat-outside
permit ip host 10.3.3.3 any
ip access-list tac-nat-inside
permit ip host 10.1.1.1 any
For Outside Twice translation nexus need 2 source list, one static Inside and one Dynamic Outside.
Both of them needs to match the same group.
ip nat pool tac-nat-outisde-pool 172.16.3.3 172.16.3.3 prefix-length 32
ip nat outside source list tac-nat-outside pool tac-nat-outisde-pool group 2 dynamic add-route
ip nat inside source static 10.1.1.1 192.168.1.1 group 2 dynamic add-route
For Inside Twice translation nexus need 2 source list, one static Outside and one Dynamic Inside.
Both of them needs to match the same group.
ip nat pool tac-nat-inside-pool 192.168.1.1 192.168.1.1 prefix-length 32
ip nat inside source list tac-nat-inside pool tac-nat-inside-pool group 1 dynamic add-route
ip nat outside source static 10.3.3.3 172.16.3.3 group 1 dynamic add-route
interface Ethernet1/1
ip nat inside
ip address 10.10.10.11/24
no shut
interface Ethernet1/2
ip nat outside
ip address 10.20.20.21/24
no shut
ip route 10.3.3.3/32 10.20.20.20
ip route 10.1.1.1/32 10.10.10.10
|
interface Ethernet1/2
ip address 10.20.20.20/24
no shut
interface loopback 0
ip address 10.3.3.3/32
ip route 0.0.0.0/0 10.20.20.21
|
ملاحظة: بما أن IP 172.16.3.3 و 192.168.1.1 غير موجودين فعليا على أي جهاز، يجب أن يكون ل Nexus مسار صالح لإعادة توجيه حركة مرور البيانات إلى هذا IP. يمكن تكوين إدخال مسار ثابت يدوي "إضافة مسار" في نهاية قائمة nat. يقوم Nexus تلقائيا بتحديد مسار نحو IP المترجم الذي يشير إلى الخطوة التالية من IP غير المترجم.
دققت ترجمة شامل داخل/خارج IP (مرتين nat)
| N9K1 |
N9K2 |
N9K3 |
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on inband
1 2023-09-09 00:34:03.617811110 172.16.3.3 → 10.1.1.1 ICMP 158 Echo (ping) request id=0xd923, seq=0/0, ttl=254
|
sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 192.168.1.1:0 10.1.1.1:0 172.16.3.3:37734 10.3.3.3:37734
show ip route 192.168.1.1
192.168.1.1/32, ubest/mbest: 1/0
via 10.10.10.10 [1/0], 00:48:06, NAT
show ip route 172.16.3.3
172.16.3.3/32, ubest/mbest: 1/0
via 10.20.20.20 [1/0], 00:48:06, NAT
|
HOST2# ping 192.168.1.1 source 10.3.3.3
PING 192.168.1.1 (192.168.1.1) from 10.3.3.3: 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=253 time=1.175 ms
|
| N9K1 يستلم حزمة مترجمة موجهة إلى 10.1.1.1 . |
تتم ترجمة N9K2 داخل IP المحلي (192.168.1.1) إلى Inside global IP (10.1.1.1). تتم ترجمة N9K2 خارج IP المحلي (192.168.3.3) إلى IP العالمي الخارجي (10.3.3.3). باستخدام الأمر "إضافة مسار" يتم إنشاء مسار نحو المسار المترجم تلقائيا نظرا لأن Nexus له تكوين داخلي فقط، فإن Nexus يعرض المعلومات الداخلية فقط. |
تقوم N9K2 بتهيئة إختبار اتصال إلى داخل IP المحلي 192.168.1.1 . |
التعليقات