Netwerkadresomzetting en statische poortadresomzetting configureren voor ondersteuning van een interne webserver

Downloadopties

  • PDF     (328.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (101.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (113.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:9 april 2007
Document-id:12905

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Cisco IOS® Network Address Translation (NAT) is ontworpen voor vereenvoudiging en behoud van IP-adressen. Hiermee kunnen private IP-netwerken die niet-geregistreerde IP-adressen gebruiken, verbinding maken met het internet. NAT werkt op een Cisco-router die twee netwerken met elkaar verbindt en zet de private adressen (binnen lokaal) in het interne netwerk om naar openbare adressen (buiten lokaal) voordat pakketten naar een ander netwerk worden doorgestuurd. Als onderdeel van deze functionaliteit kunt u NAT zo configureren dat slechts één adres voor het gehele netwerk bij de buitenwereld wordt aangekondigd. Hierdoor wordt het interne netwerk effectief verborgen. Dit garandeert extra security.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Een van de belangrijkste functies van NAT is statische poortadresomzetting (PAT), die in een Cisco IOS-configuratie ook als "overload" wordt aangeduid. Statisch PAT is ontworpen om één-op-één-omzetting tussen lokale en wereldwijde adressen mogelijk te maken. Een gemeenschappelijk gebruik voor statisch PAT is internetgebruikers van het openbare netwerk toe te staan om tot een server van het Web toegang te hebben die in het privé netwerk wordt gevestigd.

Raadpleeg de pagina's voor NAT technische ondersteuning voor meer informatie over NAT.

Deze tabel toont de drie blokken IP-adresruimte die beschikbaar is voor particuliere netwerken. Raadpleeg RFC 1918 leaving cisco.com voor meer informatie over deze speciale netwerken.

IP-adresruimte Klasse
10.0.0.0 - 10.255.255.255 (10/8 prefix ) Klasse A
172.16.0.0 - 172.31.255.255 (prefix 172.16/12) Klasse B
192.168.0.0 - 192.168.255.255 (prefix 192.168/16) Klasse C

Opmerking: Het eerste blok is niets dan een enkele klasse A netwerknummer, terwijl het tweede blok een set van 16 aaneengesloten klasse B netwerknummers is, en het derde blok een set van 256 aaneengesloten klasse C netwerknummers.

In dit voorbeeld wijst de Internet Service Provider (ISP) de DSL-abonnee slechts één IP-adres toe, 171.68.1.1/24. Het toegewezen IP-adres is een geregistreerd uniek IP-adres en wordt een wereldwijd intern adres genoemd. Dit geregistreerde IP-adres wordt gebruikt door het gehele particuliere netwerk om op het internet te surfen en ook door internetgebruikers die van het openbare netwerk komen om de webserver in het particuliere netwerk te bereiken.

Private LAN, 192.168.0.0/24, is aangesloten op de Ethernet-interface van de NAT-router. Deze privé LAN bevat verschillende pc’s en een webserver. De NAT router is geconfigureerd om de niet-geregistreerde IP-adressen (binnen lokale adressen) die van deze pc's komen, te vertalen naar één openbaar IP-adres (binnen wereldwijd - 171.68.1.1) om door het internet te bladeren.

IP-adres 192.168.0.5 (webserver) is een adres in de privé-adresruimte dat niet naar internet kan worden gerouteerd. Het enige zichtbare IP-adres waar internetgebruikers toegang tot de webserver hebben, is 171.68.1.1. Daarom wordt de NAT-router geconfigureerd om een één-op-één-omzetting uit te voeren tussen IP-adres 171.68.1.1 poort 80 (poort 80 wordt gebruikt om door internet te bladeren) en 192.168.0.5 poort 80. Deze afbeelding geeft internetgebruikers aan de publieke kant toegang tot de interne webserver.

Deze netwerktopologie en voorbeeldconfiguratie kunnen worden gebruikt voor de WIC van Cisco 827, 1417, SOHO 77 en 1700/2600/3600 ADSL. Cisco 827 wordt bijvoorbeeld in dit document gebruikt.

Configureren

In deze sectie vindt u de informatie die u kunt gebruiken om de functies te configureren die in dit document worden beschreven.

Opmerking: raadpleeg de IOS Command Lookup tool (alleen geregistreerde klanten) om extra informatie over de opdrachten in dit document te vinden.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd.

827spat.gif

Configuratie

Cisco 827 
Current Configuration:
! 
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 

!--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network !--- that is network address translated. 

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

Verifiëren

Van de show ip Nat vertaling opdrachtoutput, de Inside local is het geconfigureerde IP-adres dat is toegewezen aan de webserver op het binnennetwerk. Bericht dat 192.168.0.5 een adres in de privé adresruimte is die niet aan Internet kan worden geleid. De Inside global is het IP-adres van de interne host, dat de webserver is, zoals het lijkt op het buitennetwerk. Dit adres is het adres dat bekend is bij mensen die proberen toegang te krijgen tot de webserver via het internet.

De Outside Local is het IP-adres van de externe host zoals het wordt weergegeven op het binnennetwerk. Het is niet per se een legitiem adres. Maar het wordt toegewezen van een adresruimte die van binnenuit kan worden gerouteerd.

Het buiten globale adres is het IP adres dat aan een gastheer op het buitennetwerk door de eigenaar van de gastheer wordt toegewezen. Het adres wordt toegewezen van een adres of een netwerkruimte die globaal kan worden gerouteerd.

Bericht dat het adres 171.68.1.1 met poortnummer 80 (HTTP) vertaalt naar 192.168.0.5 poort 80 en vice versa. Daarom kunnen internetgebruikers door de webserver bladeren, ook al bevindt de webserver zich op een privaat netwerk met een privaat IP-adres.

Om meer informatie te krijgen over hoe u NAT kunt oplossen, raadpleegt u de Verificerende NAT-werking en de eenvoudige NAT-probleemoplossing. 

827#
827#show ip nat translation
Pro Inside global      Inside local      Outside local       Outside global
tcp 171.68.1.1:80      192.168.0.5:80    ---                 ---
tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000
827#

Problemen oplossen

Om adresomzetting problemen op te lossen, kunt u de term mon uitgeven en ip nationaal gedetailleerde bevelen op de router zuiveren om te zien of het adres correct vertaalt. Het zichtbare IP-adres voor externe gebruikers om de webserver te bereiken is 171.68.1.1. Bijvoorbeeld, gebruikers van de openbare kant van het internet die proberen te bereiken 171.68.1.1 poort 80 (www) worden automatisch omgeleid naar 192.168.0.5 poort 80 (www), die in dit geval de Web server is.

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
02-Dec-2013
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten