Konfigurieren und Überprüfen von NAT auf Nexus

Download-Optionen

  • PDF     (416.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:5. Oktober 2023
Dokument-ID:221048

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

In diesem Dokument wird die Konfiguration und Überprüfung der Network Address Translation (NAT) und der doppelten NAT beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:

  • NAT
  • NXOS-Plattform
  • Ethanalyzer-Verständnis

Verwendete Komponenten

Name Plattform Version
N9K1  N9K-C93108TC-EX  9.3(10)
N9K2 N9K-C93108TC-EX  9.3(10)
N9K3 N9K-C93108TC-EX 
 9.3(10)

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Netzwerkdiagramm

Netzwerktopologie

Globale Übersetzung in IP konfigurieren

Interne globale IP:10.1.1.1

Lokale IP:192.168.1.1

N9K1 N9K2 N9K3 
interface Ethernet1/1
ip address 10.10.10.10/24
no shut

interface loopback 0
ip address 10.1.1.1/32

ip route 0.0.0.0/0 10.10.10.1














feature nat

ip access-list tac-nat-inside 
permit ip host 10.1.1.1 any 

ip nat pool tac-nat-inside-pool 192.168.1.1 192.168.1.1 prefix-length 32
ip nat inside source list tac-nat-inside pool tac-nat-inside-pool dynamic add-route

interface Ethernet1/1
   ip nat inside
   ip address 10.10.10.11/24
   no shut

interface Ethernet1/2
   ip nat outside
   ip address 10.20.20.21/24
   no shut

ip route 10.3.3.3/32 10.20.20.20

ip route 10.1.1.1/32 10.10.10.10
 
interface Ethernet1/2
   ip address 10.20.20.20/24
   no shut

interface loopback 0
   ip address 10.3.3.3/32

ip route 0.0.0.0/0 10.20.20.21
note-icon

Hinweis: Da die IP 192.168.1.1 physisch auf keinem Gerät vorhanden ist, muss der Nexus über eine gültige Route verfügen, um Datenverkehr an diese IP weiterzuleiten. Ein manueller statischer Routeneintrag kann am Ende der NAT-Liste als "add route" konfiguriert werden. Nexus generiert automatisch eine Route zur übersetzten IP und verweist auf den nächsten Hop der nicht übersetzten IP.

Übersetzung global in IP überprüfen

N9K1 N9K2 N9K3 
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on inband
1 2023-09-09 00:34:03.617811110 10.3.3.3 → 10.1.1.1 ICMP 158 Echo (ping) request  id=0xd923, seq=0/0, ttl=254





sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
any  192.168.1.1         10.1.1.1            ---                ---

show ip route 192.168.1.1
192.168.1.1/32, ubest/mbest: 1/0
  via 10.10.10.10 [1/0], 00:48:06, NAT
 
HOST2# ping 192.168.1.1 source 10.3.3.3
PING 192.168.1.1 (192.168.1.1) from 10.3.3.3: 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=253 time=1.175 ms
N9K1 empfängt übersetzte Pakete, die an 10.1.1.1 gerichtet sind.

N9K2 übersetzt "Inside local IP" (192.168.1.1) in "Inside global ip" (10.1.1.1).

Mit dem Befehl "add route" wird eine Route zur übersetzten Route automatisch generiert.

Da der Nexus nur über eine interne Konfiguration verfügt, werden beim Nexus nur interne Informationen angezeigt.

N9K2 initiiert einen Ping an die lokale IP 192.168.1.1.

Konfigurieren der Übersetzung von Global außerhalb von IP

Externe globale IP:10.3.3.3

Externe lokale IP:172.16.3.3

N9K1 N9K2 N9K3 
interface Ethernet1/1
   ip address 10.10.10.11/24
   no shut

interface loopback 0
   ip address 10.1.1.1/32

ip route 0.0.0.0/0 10.10.10.11














feature nat

ip access-list tac-nat-outside
permit ip host 10.3.3.3 any 

ip nat pool tac-nat-outisde-pool 172.16.3.3 172.16.3.3 prefix-length 32
ip nat outside source list tac-nat-outside pool tac-nat-outisde-pool dynamic add-route

interface Ethernet1/1
   ip nat inside
   ip address 10.10.10.11/24
   no shut
 
interface Ethernet1/2
   ip nat outside
   ip address 10.20.20.21/24
   no shut

ip route 10.3.3.3/32 10.20.20.20

ip route 10.1.1.1/32 10.10.10.10
 
interface Ethernet1/2
   ip address 10.20.20.20/24
   no shut

interface loopback 0
   ip address 10.3.3.3/32

ip route 0.0.0.0/0 10.20.20.21

note-icon

Hinweis: Da die IP 172.16.3.3 physisch auf keinem Gerät vorhanden ist, muss der Nexus über eine gültige Route verfügen, um Datenverkehr an diese IP weiterzuleiten. Ein manueller statischer Routeneintrag kann am Ende der NAT-Liste als "add route" konfiguriert werden. Nexus generiert automatisch eine Route zur übersetzten IP und verweist auf den nächsten Hop der nicht übersetzten IP.

Übersetzung von globaler externer IP überprüfen

N9K1 N9K2 N9K3 
ping 172.16.3.3 source 10.1.1.1
PING 172.16.3.3 (172.16.3.3) from 10.1.1.1: 56 data bytes
64 bytes from 172.16.3.3: icmp_seq=0 ttl=253 time=1.103 ms





sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
any ---                ---                172.16.3.3    10.3.3.3

show ip route 172.16.3.3
172.16.3.3/32, ubest/mbest: 1/0
    via 10.20.20.20 [1/0], 00:48:06, NAT
 
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on 'ps-inb'
1 2023-09-09 00:34:03.617811110 10.1.1.1 → 10.3.3.3 ICMP 158 Echo (ping) request  id=0xd923, seq=0/0, ttl=254
N9K1 initiiert einen Ping an die externe lokale IP 172.16.3.3.

N9K2 übersetzt lokale externe IP (192.168.3.3) in globale externe IP (10.3.3.3).

Mit dem Befehl "add route" wird eine Route zur übersetzten Route automatisch generiert.

Da der Nexus nur die Konfiguration "Extern" aufweist, werden auf dem Nexus nur Outside-Informationen angezeigt.

 N9K3 empfängt übersetzte Pakete, die für 10.3.3.3 bestimmt sind.

Globale interne/externe IP-Übersetzung konfigurieren (doppelte NAT)

Externe globale IP:10.3.3.3

Externe lokale IP:172.16.3.3

Interne globale IP:10.1.1.1

Lokale IP:192.168.1.1

N9K1 N9K2 N9K3 
interface Ethernet1/1
   ip address 10.10.10.11/24
   no shut

interface loopback 0
   ip address 10.1.1.1/32

ip route 0.0.0.0/0 10.10.10.11






























feature nat

ip access-list tac-nat-outside
permit ip host 10.3.3.3 any 

ip access-list tac-nat-inside 
permit ip host 10.1.1.1 any 

For Outside Twice translation nexus need 2 source list, one static Inside and one Dynamic Outside.
Both of them needs to match the same group.

ip nat pool tac-nat-outisde-pool 172.16.3.3 172.16.3.3 prefix-length 32  
ip nat outside source list tac-nat-outside pool tac-nat-outisde-pool group 2 dynamic add-route 
ip nat inside source static 10.1.1.1 192.168.1.1 group 2 dynamic add-route


For Inside Twice translation nexus need 2 source list, one static Outside and one Dynamic Inside.
Both of them needs to match the same group.


ip nat pool tac-nat-inside-pool 192.168.1.1 192.168.1.1 prefix-length 32
ip nat inside source list tac-nat-inside pool tac-nat-inside-pool group 1 dynamic add-route
ip nat outside source static 10.3.3.3 172.16.3.3 group 1 dynamic add-route

interface Ethernet1/1
   ip nat inside
   ip address 10.10.10.11/24
   no shut
 
interface Ethernet1/2
   ip nat outside
   ip address 10.20.20.21/24
   no shut

ip route 10.3.3.3/32 10.20.20.20

ip route 10.1.1.1/32 10.10.10.10
 
interface Ethernet1/2
   ip address 10.20.20.20/24
   no shut

interface loopback 0
   ip address 10.3.3.3/32

ip route 0.0.0.0/0 10.20.20.21
note-icon

Hinweis: Hinweis: Da die IP-Adressen 172.16.3.3 und 192.168.1.1 physisch auf keinem Gerät vorhanden sind, muss der Nexus über eine gültige Route verfügen, um Datenverkehr an diese IP-Adresse weiterzuleiten. Ein manueller statischer Routeneintrag kann am Ende der NAT-Liste als "add route" konfiguriert werden. Nexus generiert automatisch eine Route zur übersetzten IP und verweist auf den nächsten Hop der nicht übersetzten IP.

Übersetzung überprüfen Global Inside/Outside IP (Twice Nat)

N9K1 N9K2 N9K3 
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on inband
1 2023-09-09 00:34:03.617811110 172.16.3.3 → 10.1.1.1 ICMP 158 Echo (ping) request  id=0xd923, seq=0/0, ttl=254









sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.1.1:0 10.1.1.1:0          172.16.3.3:37734 10.3.3.3:37734

show ip route 192.168.1.1
192.168.1.1/32, ubest/mbest: 1/0
  via 10.10.10.10 [1/0], 00:48:06, NAT

show ip route 172.16.3.3
172.16.3.3/32, ubest/mbest: 1/0
  via 10.20.20.20 [1/0], 00:48:06, NAT
 
HOST2# ping 192.168.1.1 source 10.3.3.3
PING 192.168.1.1 (192.168.1.1) from 10.3.3.3: 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=253 time=1.175 ms
N9K1 empfängt übersetzte Pakete, die an 10.1.1.1 gerichtet sind.

N9K2 übersetzt "Inside local IP" (192.168.1.1) in "Inside global ip" (10.1.1.1).

N9K2 übersetzt lokale externe IP (192.168.3.3) in globale externe IP (10.3.3.3).

Mit dem Befehl "add route" wird eine Route zur übersetzten Route automatisch generiert.

Da der Nexus nur über eine interne Konfiguration verfügt, werden beim Nexus nur interne Informationen angezeigt.

N9K2 initiiert einen Ping an die lokale IP 192.168.1.1.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
05-Oct-2023
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Juan Carlos Gandaria Alonso
    Escalation Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.