Configuration et vérification de la fonction NAT sur Nexus

Options de téléchargement

  • PDF     (414.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (219.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (160.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:5 octobre 2023
ID du document:221048

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Introduction

Ce document décrit comment configurer et vérifier la traduction d'adresses de réseau (NAT) et deux fois la NAT.

Conditions préalables

Exigences

Cisco vous recommande d'avoir des connaissances sur les sujets suivants :

  • NAT
  • Plate-forme NXOS
  • Analyse Ethnique Compréhension

Composants utilisés

Nom Plateforme Version
N9K1  N9K-C93108TC-EX  9.3(10)
N9K2 N9K-C93108TC-EX  9.3(10)
N9K3 N9K-C93108TC-EX 
 9.3(10)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Diagramme du réseau

Topologie du réseau

Configurer la traduction globale dans IP

IP globale interne : 10.1.1.1

Adresse IP locale interne : 192.168.1.1

N9K1 N9K2 N9K3 
interface Ethernet1/1
ip address 10.10.10.10/24
no shut

interface loopback 0
ip address 10.1.1.1/32

ip route 0.0.0.0/0 10.10.10.1














feature nat

ip access-list tac-nat-inside 
permit ip host 10.1.1.1 any 

ip nat pool tac-nat-inside-pool 192.168.1.1 192.168.1.1 prefix-length 32
ip nat inside source list tac-nat-inside pool tac-nat-inside-pool dynamic add-route

interface Ethernet1/1
   ip nat inside
   ip address 10.10.10.11/24
   no shut

interface Ethernet1/2
   ip nat outside
   ip address 10.20.20.21/24
   no shut

ip route 10.3.3.3/32 10.20.20.20

ip route 10.1.1.1/32 10.10.10.10
 
interface Ethernet1/2
   ip address 10.20.20.20/24
   no shut

interface loopback 0
   ip address 10.3.3.3/32

ip route 0.0.0.0/0 10.20.20.21
note-icon

Remarque : étant donné que l'adresse IP 192.168.1.1 n'existe physiquement sur aucun périphérique, nexus doit disposer d'une route valide pour transférer le trafic vers cette adresse IP. Une entrée de route statique manuelle peut être configurée « ajouter une route » à la fin de la liste NAT peut être configurée. Nexus génère automatiquement une route vers l'adresse IP traduite pointant vers le tronçon suivant de l'adresse IP non traduite.

Vérifier la traduction globale dans IP

N9K1 N9K2 N9K3 
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on inband
1 2023-09-09 00:34:03.617811110 10.3.3.3 → 10.1.1.1 ICMP 158 Echo (ping) request  id=0xd923, seq=0/0, ttl=254





sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
any  192.168.1.1         10.1.1.1            ---                ---

show ip route 192.168.1.1
192.168.1.1/32, ubest/mbest: 1/0
  via 10.10.10.10 [1/0], 00:48:06, NAT
 
HOST2# ping 192.168.1.1 source 10.3.3.3
PING 192.168.1.1 (192.168.1.1) from 10.3.3.3: 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=253 time=1.175 ms
N9K1 reçoit le paquet traduit destiné à 10.1.1.1.

N9K2 traduit l'adresse IP locale interne (192.168.1.1) en adresse IP globale interne (10.1.1.1).

Avec la commande « add route », une route vers la route traduite est générée automatiquement

Puisque nexus n'a qu'une configuration interne, nexus n'affiche que les informations internes.

N9K2 lance une requête ping vers l’adresse IP locale interne 192.168.1.1 .

Configurer la traduction à partir du protocole IP externe global

IP globale externe : 10.3.3.3

Adresse IP locale externe : 172.16.3.3

N9K1 N9K2 N9K3 
interface Ethernet1/1
   ip address 10.10.10.11/24
   no shut

interface loopback 0
   ip address 10.1.1.1/32

ip route 0.0.0.0/0 10.10.10.11














feature nat

ip access-list tac-nat-outside
permit ip host 10.3.3.3 any 

ip nat pool tac-nat-outisde-pool 172.16.3.3 172.16.3.3 prefix-length 32
ip nat outside source list tac-nat-outside pool tac-nat-outisde-pool dynamic add-route

interface Ethernet1/1
   ip nat inside
   ip address 10.10.10.11/24
   no shut
 
interface Ethernet1/2
   ip nat outside
   ip address 10.20.20.21/24
   no shut

ip route 10.3.3.3/32 10.20.20.20

ip route 10.1.1.1/32 10.10.10.10
 
interface Ethernet1/2
   ip address 10.20.20.20/24
   no shut

interface loopback 0
   ip address 10.3.3.3/32

ip route 0.0.0.0/0 10.20.20.21

note-icon

Remarque : étant donné que l'IP 172.16.3.3 n'existe physiquement sur aucun périphérique, nexus doit disposer d'une route valide pour transférer le trafic vers cette IP. Une entrée de route statique manuelle peut être configurée « ajouter une route » à la fin de la liste NAT peut être configurée. Nexus génère automatiquement une route vers l'IP traduite pointant vers le tronçon suivant de l'IP non traduite.

Vérifier la traduction à partir de l'IP externe globale

N9K1 N9K2 N9K3 
ping 172.16.3.3 source 10.1.1.1
PING 172.16.3.3 (172.16.3.3) from 10.1.1.1: 56 data bytes
64 bytes from 172.16.3.3: icmp_seq=0 ttl=253 time=1.103 ms





sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
any ---                ---                172.16.3.3    10.3.3.3

show ip route 172.16.3.3
172.16.3.3/32, ubest/mbest: 1/0
    via 10.20.20.20 [1/0], 00:48:06, NAT
 
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on 'ps-inb'
1 2023-09-09 00:34:03.617811110 10.1.1.1 → 10.3.3.3 ICMP 158 Echo (ping) request  id=0xd923, seq=0/0, ttl=254
N9K1 lance une requête ping vers Outside ilocal ip 172.16.3.3.

N9K2 traduit Outside local IP (192.168.3.3) en Outside global ip (10.3.3.3).

Avec la commande « add route », une route vers la route traduite est générée automatiquement

Puisque nexus n'a qu'une configuration externe, nexus n'affiche que les informations externes.

 N9K3 reçoit le paquet traduit destiné à 10.3.3.3 .

Configurer la traduction globale IP interne/externe (deux fois Nat)

IP globale externe : 10.3.3.3

Adresse IP locale externe : 172.16.3.3

IP globale interne : 10.1.1.1

Adresse IP locale interne : 192.168.1.1

N9K1 N9K2 N9K3 
interface Ethernet1/1
   ip address 10.10.10.11/24
   no shut

interface loopback 0
   ip address 10.1.1.1/32

ip route 0.0.0.0/0 10.10.10.11






























feature nat

ip access-list tac-nat-outside
permit ip host 10.3.3.3 any 

ip access-list tac-nat-inside 
permit ip host 10.1.1.1 any 

For Outside Twice translation nexus need 2 source list, one static Inside and one Dynamic Outside.
Both of them needs to match the same group.

ip nat pool tac-nat-outisde-pool 172.16.3.3 172.16.3.3 prefix-length 32  
ip nat outside source list tac-nat-outside pool tac-nat-outisde-pool group 2 dynamic add-route 
ip nat inside source static 10.1.1.1 192.168.1.1 group 2 dynamic add-route


For Inside Twice translation nexus need 2 source list, one static Outside and one Dynamic Inside.
Both of them needs to match the same group.


ip nat pool tac-nat-inside-pool 192.168.1.1 192.168.1.1 prefix-length 32
ip nat inside source list tac-nat-inside pool tac-nat-inside-pool group 1 dynamic add-route
ip nat outside source static 10.3.3.3 172.16.3.3 group 1 dynamic add-route

interface Ethernet1/1
   ip nat inside
   ip address 10.10.10.11/24
   no shut
 
interface Ethernet1/2
   ip nat outside
   ip address 10.20.20.21/24
   no shut

ip route 10.3.3.3/32 10.20.20.20

ip route 10.1.1.1/32 10.10.10.10
 
interface Ethernet1/2
   ip address 10.20.20.20/24
   no shut

interface loopback 0
   ip address 10.3.3.3/32

ip route 0.0.0.0/0 10.20.20.21
note-icon

Remarque : étant donné que l'adresse IP 172.16.3.3 ou 192.168.1.1 n'existe physiquement sur aucun périphérique, nexus doit avoir une route valide pour transférer le trafic vers cette adresse IP. Une entrée de route statique manuelle peut être configurée « ajouter une route » à la fin de la liste NAT peut être configurée. Nexus génère automatiquement une route vers l'adresse IP traduite pointant vers le tronçon suivant de l'adresse IP non traduite.

Vérifier la traduction IP globale interne/externe (deux fois Nat)

N9K1 N9K2 N9K3 
ethanalyzer local interface inband display-filter icmp limit-captured-frames 0
Capturing on inband
1 2023-09-09 00:34:03.617811110 172.16.3.3 → 10.1.1.1 ICMP 158 Echo (ping) request  id=0xd923, seq=0/0, ttl=254









sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.1.1:0 10.1.1.1:0          172.16.3.3:37734 10.3.3.3:37734

show ip route 192.168.1.1
192.168.1.1/32, ubest/mbest: 1/0
  via 10.10.10.10 [1/0], 00:48:06, NAT

show ip route 172.16.3.3
172.16.3.3/32, ubest/mbest: 1/0
  via 10.20.20.20 [1/0], 00:48:06, NAT
 
HOST2# ping 192.168.1.1 source 10.3.3.3
PING 192.168.1.1 (192.168.1.1) from 10.3.3.3: 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=253 time=1.175 ms
N9K1 reçoit le paquet traduit destiné à 10.1.1.1 .

N9K2 traduit l'adresse IP locale interne (192.168.1.1) en adresse IP globale interne (10.1.1.1).

N9K2 traduit Outside local IP (192.168.3.3) en Outside global ip (10.3.3.3).

Avec la commande « add route », une route vers la route traduite est générée automatiquement

Puisque nexus n'a qu'une configuration interne, nexus n'affiche que les informations internes.

N9K2 lance une requête ping vers l’adresse IP locale interne 192.168.1.1 .

Historique de révision

Révision Date de publication Commentaires
1.0
05-Oct-2023
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Juan Carlos Gandaria Alonso
    Ingénieur De Réaffectation

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits