Configuración y verificación de NAT en Nexus

Opciones de descarga

  • PDF     (414.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (218.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (158.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de octubre de 2023
ID del documento:221048

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Este documento describe cómo configurar y verificar la traducción de direcciones de red (NAT) y dos veces la NAT.

Prerequisites

Requirements

Cisco recomienda que conozca estos temas:

  • NAT
  • Plataforma NXOS
  • Comprensión de Ethanalyzer

Componentes Utilizados

Nombre Plataforma Versión
N9K1  N9K-C93108TC-EX  9.3(10)
N9K2 N9K-C93108TC-EX  9.3(10)
N9K3 N9K-C93108TC-EX 
 9.3(10)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Diagrama de la red

Topología de red

Configurar traducción global dentro de IP

Inside Global IP:10.1.1.1

IP local interna:192.168.1.1

N9K1 N9K2 N9K3 
interface Ethernet1/1
ip address 10.10.10.10/24
no shut

interface loopback 0
ip address 10.1.1.1/32

ip route 0.0.0.0/0 10.10.10.1














feature nat

ip access-list tac-nat-inside 
permit ip host 10.1.1.1 any 

ip nat pool tac-nat-inside-pool 192.168.1.1 192.168.1.1 prefix-length 32
ip nat inside source list tac-nat-inside pool tac-nat-inside-pool dynamic add-route

interface Ethernet1/1
   ip nat inside
   ip address 10.10.10.11/24
   no shut

interface Ethernet1/2
   ip nat outside
   ip address 10.20.20.21/24
   no shut

ip route 10.3.3.3/32 10.20.20.20

ip route 10.1.1.1/32 10.10.10.10
 
interface Ethernet1/2
   ip address 10.20.20.20/24
   no shut

interface loopback 0
   ip address 10.3.3.3/32

ip route 0.0.0.0/0 10.20.20.21
icono de nota

Nota: dado que IP 192.168.1.1 no existe físicamente en ningún dispositivo, el Nexus debe tener una ruta válida para reenviar el tráfico a esta IP. Se puede configurar una entrada de ruta estática manual "add route " al final de la lista NAT. Nexus autogenera una ruta hacia la IP traducida que apunta al siguiente salto de IP sin traducir.

Verificar traducción Global dentro de IP

N9K1 N9K2 N9K3 
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on inband
1 2023-09-09 00:34:03.617811110 10.3.3.3 → 10.1.1.1 ICMP 158 Echo (ping) request  id=0xd923, seq=0/0, ttl=254





sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
any  192.168.1.1         10.1.1.1            ---                ---

show ip route 192.168.1.1
192.168.1.1/32, ubest/mbest: 1/0
  via 10.10.10.10 [1/0], 00:48:06, NAT
 
HOST2# ping 192.168.1.1 source 10.3.3.3
PING 192.168.1.1 (192.168.1.1) from 10.3.3.3: 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=253 time=1.175 ms
N9K1 recibe el paquete traducido destinado a 10.1.1.1.

N9K2 traduce la IP local interna (192.168.1.1) a la IP global interna (10.1.1.1).

Con el comando "add route" se genera automáticamente una ruta hacia la ruta traducida

Dado que Nexus solo tiene configuración interna, Nexus solo muestra información interna.

N9K2 inicia un ping a la ip local interna 192.168.1.1 .

Configurar la traducción desde IP externa global

Outside Global IP:10.3.3.3

Outside Local IP:172.16.3.3

N9K1 N9K2 N9K3 
interface Ethernet1/1
   ip address 10.10.10.11/24
   no shut

interface loopback 0
   ip address 10.1.1.1/32

ip route 0.0.0.0/0 10.10.10.11














feature nat

ip access-list tac-nat-outside
permit ip host 10.3.3.3 any 

ip nat pool tac-nat-outisde-pool 172.16.3.3 172.16.3.3 prefix-length 32
ip nat outside source list tac-nat-outside pool tac-nat-outisde-pool dynamic add-route

interface Ethernet1/1
   ip nat inside
   ip address 10.10.10.11/24
   no shut
 
interface Ethernet1/2
   ip nat outside
   ip address 10.20.20.21/24
   no shut

ip route 10.3.3.3/32 10.20.20.20

ip route 10.1.1.1/32 10.10.10.10
 
interface Ethernet1/2
   ip address 10.20.20.20/24
   no shut

interface loopback 0
   ip address 10.3.3.3/32

ip route 0.0.0.0/0 10.20.20.21

icono de nota

Nota: dado que la IP 172.16.3.3 no existe físicamente en ningún dispositivo, Nexus debe tener una ruta válida para reenviar el tráfico a esta IP. Se puede configurar una entrada de ruta estática manual "add route " al final de la lista NAT. Nexus autogenera una ruta hacia la IP traducida que apunta al siguiente salto de IP sin traducir.

Verificar la traducción de la IP externa global

N9K1 N9K2 N9K3 
ping 172.16.3.3 source 10.1.1.1
PING 172.16.3.3 (172.16.3.3) from 10.1.1.1: 56 data bytes
64 bytes from 172.16.3.3: icmp_seq=0 ttl=253 time=1.103 ms





sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
any ---                ---                172.16.3.3    10.3.3.3

show ip route 172.16.3.3
172.16.3.3/32, ubest/mbest: 1/0
    via 10.20.20.20 [1/0], 00:48:06, NAT
 
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on 'ps-inb'
1 2023-09-09 00:34:03.617811110 10.1.1.1 → 10.3.3.3 ICMP 158 Echo (ping) request  id=0xd923, seq=0/0, ttl=254
N9K1 inicia un ping a Outside ip 172.16.3.3.

N9K2 traduce IP local externa (192.168.3.3) a IP global externa (10.3.3.3).

Con el comando "add route" se genera automáticamente una ruta hacia la ruta traducida

Dado que nexus solo tiene configuración externa, nexus solo muestra información externa.

 N9K3 recibe el paquete traducido destinado a 10.3.3.3 .

Configuración de la traducción de la IP interna/externa global (dos veces NAT)

Outside Global IP:10.3.3.3

Outside Local IP:172.16.3.3

Inside Global IP:10.1.1.1

IP local interna:192.168.1.1

N9K1 N9K2 N9K3 
interface Ethernet1/1
   ip address 10.10.10.11/24
   no shut

interface loopback 0
   ip address 10.1.1.1/32

ip route 0.0.0.0/0 10.10.10.11






























feature nat

ip access-list tac-nat-outside
permit ip host 10.3.3.3 any 

ip access-list tac-nat-inside 
permit ip host 10.1.1.1 any 

For Outside Twice translation nexus need 2 source list, one static Inside and one Dynamic Outside.
Both of them needs to match the same group.

ip nat pool tac-nat-outisde-pool 172.16.3.3 172.16.3.3 prefix-length 32  
ip nat outside source list tac-nat-outside pool tac-nat-outisde-pool group 2 dynamic add-route 
ip nat inside source static 10.1.1.1 192.168.1.1 group 2 dynamic add-route


For Inside Twice translation nexus need 2 source list, one static Outside and one Dynamic Inside.
Both of them needs to match the same group.


ip nat pool tac-nat-inside-pool 192.168.1.1 192.168.1.1 prefix-length 32
ip nat inside source list tac-nat-inside pool tac-nat-inside-pool group 1 dynamic add-route
ip nat outside source static 10.3.3.3 172.16.3.3 group 1 dynamic add-route

interface Ethernet1/1
   ip nat inside
   ip address 10.10.10.11/24
   no shut
 
interface Ethernet1/2
   ip nat outside
   ip address 10.20.20.21/24
   no shut

ip route 10.3.3.3/32 10.20.20.20

ip route 10.1.1.1/32 10.10.10.10
 
interface Ethernet1/2
   ip address 10.20.20.20/24
   no shut

interface loopback 0
   ip address 10.3.3.3/32

ip route 0.0.0.0/0 10.20.20.21
icono de nota

Nota: dado que IP 172.16.3.3 ni 192.168.1.1 no existen físicamente en ningún dispositivo, el Nexus debe tener una ruta válida para reenviar el tráfico a esta IP. Se puede configurar una entrada de ruta estática manual "add route " al final de la lista NAT. Nexus autogenera una ruta hacia la IP traducida que apunta al siguiente salto de IP sin traducir.

Verificar la traducción de la IP interna/externa global (dos veces NAT)

N9K1 N9K2 N9K3 
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on inband
1 2023-09-09 00:34:03.617811110 172.16.3.3 → 10.1.1.1 ICMP 158 Echo (ping) request  id=0xd923, seq=0/0, ttl=254









sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.1.1:0 10.1.1.1:0          172.16.3.3:37734 10.3.3.3:37734

show ip route 192.168.1.1
192.168.1.1/32, ubest/mbest: 1/0
  via 10.10.10.10 [1/0], 00:48:06, NAT

show ip route 172.16.3.3
172.16.3.3/32, ubest/mbest: 1/0
  via 10.20.20.20 [1/0], 00:48:06, NAT
 
HOST2# ping 192.168.1.1 source 10.3.3.3
PING 192.168.1.1 (192.168.1.1) from 10.3.3.3: 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=253 time=1.175 ms
N9K1 recibe el paquete traducido destinado a 10.1.1.1 .

N9K2 traduce la IP local interna (192.168.1.1) a la IP global interna (10.1.1.1).

N9K2 traduce IP local externa (192.168.3.3) a IP global externa (10.3.3.3).

Con el comando "add route" se genera automáticamente una ruta hacia la ruta traducida

Dado que Nexus solo tiene configuración interna, Nexus solo muestra información interna.

N9K2 inicia un ping a la ip local interna 192.168.1.1 .

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
05-Oct-2023
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Juan Carlos Gandaria Alonso
    Escalation Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos