Introduction
Ce document décrit comment configurer la commandeip nat outside source list et décrit ce qui arrive au paquet IP pendant le processus NAT.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques. Cependant, les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
Routeurs de la gamme Cisco 2500
-
Logiciel Cisco IOS® version 12.2(24a) exécuté sur tous les routeurs
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Vous pouvez utiliser cette commande pour traduire l'adresse source des paquets IP qui circulent de l'extérieur du réseau vers l'intérieur du réseau. Cette action traduit l’adresse de destination des paquets IP qui voyagent dans la direction opposée, de l’intérieur vers l’extérieur du réseau. Cette commande est utile dans les situations telles que les réseaux en superposition, où les adresses de réseau interne chevauchent les adresses qui sont à l'extérieur du réseau. Considérons comme exemple le diagramme de réseau.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
Configurer
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : Pour en savoir plus sur les commandes utilisées dans le présent document, utilisez l’outil de recherche de commandes (clients inscrits seulement).
Diagramme du réseau
Ce document utilise la configuration réseau suivante :
Quand le ping est créé depuis le routeur de l'interface 2514W Loopback0 (172.16.88.1) vers le routeur de l'interface 2501E Loopback0 (171.68.1.1), ceci se produit :
Le routeur 2514W transmet les paquets au routeur 2514X parce qu'il est configuré avec une route par défaut. Sur l'interface extérieure du routeur 2514X, le paquet a une adresse source (SA) de 172.16.88.1 et une adresse de destination (DA) de 171.68.1.1. Étant donné que l'association de sécurité est autorisée dans la liste d'accès 1, qui est utilisée par la commande,ip nat outside source list elle est traduite en une adresse du pool NAT Net171.
Notez que la ip nat outside source list commande fait référence au pool NAT « Net171 ». Dans ce cas, l'adresse est traduite en 171.68.16.10 qui est la première adresse disponible dans le groupe NAT.
Après la traduction, le routeur 2514X recherche la destination dans la table de routage et dirige le paquet. Le routeur 2501E voit le paquet sur son interface entrante avec une SA de 171.68.16.10 et une DA de 171.68.1.1. Il répond en envoyant une réponse écho Internet Control Message Protocol (ICMP) à 171.68.16.10. S'il n'a pas de route, il rejette le paquet.
Dans ce cas, il a une route (par défaut), ainsi il envoie un paquet vers le routeur à 2514X, en utilisant une SA de 171.68.1.1 et une DA de 171.68.16.10. Le routeur 2514X voit le paquet sur son interface interne et vérifie une route à l'adresse 171.68.16.10. S'il n'en a pas, il répond avec une réponse d'ICMP inaccessible.
ip nat outside source Dans ce cas, il a une route vers 171.68.16.10, en raison de l'option add-route de la commande qui ajoute une route d'hôte basée sur la traduction entre l'adresse globale externe et l'adresse locale externe, de sorte qu'il retraduit le paquet vers l'adresse 172.16.88.1, et route le paquet vers son interface externe.
Configurations
Routeur 2514W |
hostname 2514W
!
!--- Output suppressed.
interface Loopback0
ip address 172.16.88.1 255.255.255.0
!
!--- Output suppressed.
interface Serial0
ip address 172.16.191.254 255.255.255.252
no ip mroute-cache
!
!--- Output suppressed.
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.191.253
!--- Default route to forward packets to 2514X.
!
!--- Output suppressed.
|
Routeur 2514X |
hostname 2514X
!
!--- Output suppressed.
!
interface Ethernet1
ip address 171.68.192.202 255.255.255.0
ip nat inside
no ip mroute-cache
no ip route-cache
!
!--- Output suppressed.
interface Serial1
ip address 172.16.191.253 255.255.255.252
ip nat outside
no ip mroute-cache
no ip route-cache
clockrate 2000000
!
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0
!--- NAT pool defining Outside Local addresses to be used for translation.
!
ip nat outside source list 1 pool Net171 add-route
!--- Configures translation for Outside Global addresses !--- with the NAT pool.
ip classless
ip route 172.16.88.0 255.255.255.0 172.16.191.254
ip route 171.68.1.0 255.255.255.0 171.68.192.201
!--- Static routes for reaching the loopback interfaces !--- on 2514W and 2501E.
access-list 1 permit 172.16.88.0 0.0.0.255
!--- Access-list defining Outside Global addresses to be translated.
!
!--- Output suppressed.
! |
Routeur 2501E |
hostname 2501E
!
!--- Output suppressed.
interface Loopback0
ip address 171.68.1.1 255.255.255.0
!
interface Ethernet0
ip address 171.68.192.201 255.255.255.0
!
!--- Output suppressed.
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.192.202
!--- Default route to forward packets to 2514X.
!
!--- Output suppressed.
|
Vérifier
Cette section fournit des informations qui vous permettront de confirmer que votre configuration fonctionne correctement.
Certaines commandes show sont prises en charge par l'outil Output Interpreter Tool (clients enregistrés uniquement), qui vous permet d'afficher une analyse du résultat de la show commande.
La commande show ip nat translations peut être utilisée pour vérifier les entrées de traduction, comme indiqué dans ce résultat :
2514X# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 171.68.1.1 171.68.1.1 171.68.16.10 172.16.88.1
--- --- --- 171.68.16.10 172.16.88.1
2514X#
Le résultat montre que l'adresse globale externe 172.16.88.1, qui est l'adresse sur l'interface Loopback0 du routeur 2514W, est traduite en adresse locale externe 171.68.16.10.
Vous pouvez utiliser la commande show ip route pour contrôler les entrées de la table de routage, comme indiqué :
2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 171.68.192.0/24 is directly connected, Ethernet1
S 171.68.1.0/24 [1/0] via 171.68.192.201
S 171.68.16.10/32 [1/0] via 172.16.88.1
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S 172.16.88.0/24 [1/0] via 172.16.191.254
C 172.16.191.252/30 is directly connected, Serial1
2514X#
Le résultat montre une route /32 pour l'adresse locale externe 171.68.16.10, qui est créée en raison de l'option add-route de la ip nat outside source commande. Cette route est utilisée pour diriger et traduire les paquets qui circulent de l'intérieur vers l'extérieur du réseau.
Dépannage
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Ce résultat est le résultat de l'exécution des commandes debug ip packet etdebug ip nat sur le routeur 2514X, tout en envoyant une requête ping à partir de l'adresse d'interface loopback0 du routeur 2514W (172.16.88.1) vers l'adresse d'interface loopback0 du routeur 2501E (171.68.1.1) :
*Mar 1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95]
!--- The source address in the first packet arriving on !--- the outside interface is first translated.
*Mar 1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via
RIB
*Mar 1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len
100, forward
!--- The ICMP echo request packet with the translated source address !--- is routed and forwarded on the inside interface.
*Mar 1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via
RIB
!--- The ICMP echo reply packet arriving on the inside interface !--- is first routed based on the destination address.
*Mar 1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95]
!--- The destination address in the packet is then translated.
*Mar 1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1
00, forward
!--- The ICMP echo reply packet with the translated destination !--- address is forwarded on the outside interface.
La procédure précédente est répétée pour chaque paquet reçu sur l’interface externe.
Résumé
La principale différence entre l'utilisation de la ip nat outside source listcommande (NAT dynamique) au lieu de la ip nat outside source static commande (NAT statique) est qu'il n'y a pas d'entrées dans la table de traduction tant que le routeur (configuré pour NAT) ne vérifie pas les critères de traduction du paquet. Dans l'exemple précédent, le paquet avec la SA 172.16.88.1 (qui arrive dans l'interface externe du routeur 2514X) satisfait à access-list 1, le critère utilisé par la ip nat outside source list commande. Pour cette raison, les paquets doivent provenir du réseau externe avant que les paquets du réseau interne puissent communiquer avec l'interface loopback0 du routeur 2514W.
Il y a deux choses importantes à noter dans cet exemple.
D'abord, quand le paquet circule de l'extérieur vers l'intérieur, la traduction se produit, puis la table de routage est examinée vis-à-vis de la destination. Lorsque le paquet circule de l'intérieur vers l'extérieur, d'abord la table de routage est examinée vis-à-vis de la destination, puis la traduction se produit.
Deuxièmement, il est important de noter quelle partie du paquet IP est traduite lors de l’utilisation de chacune des commandes précédentes. Le tableau suivant contient une directive :
Commande |
Action |
ip nat outside source list |
- traduit la source des paquets IP qui circulent de l'extérieur vers l'intérieur
- traduit la destination des paquets IP qui circulent de l'intérieur vers l'extérieur
|
ip nat inside source list |
- traduit la source des paquets IP qui circulent de l'intérieur vers l'extérieur
- traduit la destination des paquets IP qui circulent de l'extérieur vers l'intérieur
|
Ces directives indiquent qu’il existe plusieurs façons de traduire un paquet. Selon vos besoins spécifiques, vous pouvez déterminer comment définir les interfaces NAT (internes ou externes) et quelles routes la table de routage contient avant ou après la traduction. Gardez à l'esprit que la partie du paquet qui est traduite dépend de la direction dans laquelle le paquet se déplace et de la façon dont vous avez configuré la NAT.
Informations connexes