Configurar Network Address Translation

Introdução

Este documento descreve como configurar o Network Address Translation (NAT) em um roteador da Cisco.

Pré-requisitos

Requisitos

Este documento exige um conhecimento básico dos termos usados em relação ao NAT. 

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco 2500 Series Routers

• Cisco IOS® Software, Versão 12.2(10b)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Etapas de início rápido para configurar e implantar o NAT

Observação: neste documento, quando a Internet ou um dispositivo da Internet é mencionado, significa um dispositivo em qualquer rede externa.

Quando você configura o NAT, é às vezes difícil saber onde começar, especialmente se você é novo ao NAT. Estas etapas guiam-no para definir o que você quer o NAT fazer e como o configurar:

1. Defina as interfaces interna e externa de NAT.

   • Os usuários existem fora das interfaces múltiplas?

   • Há várias interfaces disponíveis para a Internet?

2. Defina o que você deseja realizar com o NAT.

   • Deseja permitir que usuários internos acessem a Internet ?

   • Deseja permitir que a Internet acesse dispositivos internos (como um servidor de email ou um servidor Web)?

   • Deseja redirecionar o tráfego TCP para outra porta ou endereço TCP ?

   • Deseja usar o NAT durante uma transição de rede (por exemplo, você alterou um endereço IP de servidor e até poder atualizar todos os clientes que deseja que os clientes não atualizados possam acessar o servidor com o endereço IP original, bem como permitir que os clientes atualizados acessem o servidor com o novo endereço)?

   • Deseja usar para permitir que as redes que se sobrepõem se comuniquem ?

3. Configure o NAT para realizar o que você definiu anteriormente. Com base no que você definiu na etapa 2, é necessário determinar quais dos próximos recursos serão usados:

   • NAT Estático

   • NAT dinâmica

   • Overloading

   • Qualquer combinação desses recursos.

4. Verifique a operação NAT.

Cada um desses exemplos de NAT o orienta através das etapas 1 a 3 das Etapas de início rápido na imagem anterior. Estes exemplos descrevem alguns cenários comuns em que Cisco o recomenda distribui o NAT.

Definir interfaces internas e externas do NAT

A primeira etapa para distribuir o NAT é definir interfaces NAT interna e externa. Você pode achar mais fácil definir sua rede interna como interna e a rede externa como externa. Entretanto, os termos interno e externo também estão sujeitos à arbitragem. Esta figura mostra um exemplo desta.

Topologia de NAT

Examples

1. Permitir que Usuários Internos Acessem a Internet

É possível que você queira permitir que usuários internos acessem a Internet, mas você não tem endereços válidos suficientes para acomodar todos. Se toda a comunicação com os dispositivos na Internet origina dos dispositivos internos, você precisa um único endereço válido ou um pool dos endereços válidos.

Esta imagem mostra um diagrama de rede simples com as interfaces do roteador definidas como internas e externas.

Endereços válidos disponíveis

Neste exemplo, você deseja que o NAT permita que determinados dispositivos internos (os primeiros 31 de cada sub-rede) originem comunicação com dispositivos externos e converta seu endereço inválido em um endereço válido ou pool de endereços. O pool foi definido como o intervalo de endereços de 172.16.10.1 a 172.16.10.63.

Agora você pode configurar o NAT. Para realizar o que está definido na imagem anterior, use o NAT dinâmico. Com NAT dinâmico, a tabela de tradução no roteador está inicialmente vazia e é povoada uma vez que o tráfego que precisa de ser traduzido passa através do roteador. Ao contrário do NAT estático, onde uma tradução estaticamente é configurada e colocada na tabela de tradução sem a necessidade para todo o tráfego.

Neste exemplo, você pode configurar o NAT para traduzir cada um dos dispositivos internos a um endereço válido exclusivo, ou para traduzir cada um dos dispositivos internos ao mesmo endereço válido. Esse segundo método é conhecido como overloading . Um exemplo de como configurar cada método é dado aqui.

Configure o NAT para permitir que usuários internos acessem a Internet

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.

 
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24


!--- Defines a NAT pool named no-overload with a range of addresses 
!--- 172.16.10.1 - 172.16.10.63.


ip nat inside source list 7 pool no-overload 


!--- Indicates that any packets received on the inside interface that 
!--- are permitted by access-list 7 has 
!--- the source address translated to an address out of the 
!--- NAT pool "no-overload".


access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from 
!--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.
 

Observação: a Cisco recomenda que você não configure listas de acesso referenciadas por comandos NAT com permit any. Se você usar permit any no NAT, ele consumirá muitos recursos do roteador que podem causar problemas na rede.

Observe na configuração anterior que somente os primeiros 32 endereços da sub-rede 10.10.10.0 e os primeiros 32 endereços da sub-rede 10.10.20.0 são permitidos pela lista de acesso 7. Portanto, somente estes endereços de origem são traduzidos. Pode haver outros dispositivos com outros endereços na rede interna, mas eles não são convertidos.

A etapa final é verificar se o NAT está funcionando conforme o esperado .

Configure o NAT para permitir que usuários internos acessem a Internet com sobrecarga

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24


!--- Defines a NAT pool named ovrld with a range of a single IP 
!--- address, 172.16.10.1.


ip nat inside source list 7 pool ovrld overload


!--- Indicates that any packets received on the inside interface that 
!--- are permitted by access-list 7 has the source address 
!--- translated to an address out of the NAT pool named ovrld. 
!--- Translations are overloaded, which allows multiple inside 
!--- devices to be translated to the same valid IP address. 

access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from 
!--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.
 

Observe que na segunda configuração anterior, o pool ovrld NAT tem apenas um intervalo de um endereço. A sobrecarga de palavra-chave usada no comando ip nat inside source list 7 pool ovrld overload permite que o NAT traduza dispositivos internos múltiplos ao único endereço no pool.

Outra variação desse comando isip nat inside source list 7 interface serial 0 overload, que configura o NAT para sobrecarregar no endereço atribuído à interface serial 0.

Quando o overloading é configurado, o roteador mantém informações suficientes de protocolos de nível superior (por exemplo, números de porta TCP ou UDP) para converter o endereço global de volta ao endereço local correto. Para obter definições de endereço global e local, consulte NAT: Definições Globais e Locais .

A etapa final é verificar se o NAT está funcionando conforme o esperado .

2. Permitir que a Internet acesse dispositivos internos

Você pode precisar de dispositivos internos para trocar informações com dispositivos na Internet, onde a comunicação é iniciada a partir dos dispositivos de Internet, por exemplo, e-mail. Normalmente, os dispositivos na Internet enviam e-mail a um servidor de e-mail que reside na rede interna.

Originar comunicações

Configure o NAT para permitir que a Internet acesse dispositivos internos

Neste exemplo, você define primeiramente as interfaces NAT interna e externa, segundo as indicações do diagrama da rede precedente.

Em segundo, você define que você quer usuários no interior poder originar uma comunicação com a parte externa. Os dispositivos na parte externa devem ser capazes de originar comunicação com apenas o servidor de e-mail na parte interna.

A terceira etapa é configurar o NAT. Para realizar o que você definiu, você pode configurar o NAT estático e dinâmico junto. Para obter mais informações sobre como configurar este exemplo, consulte Configurar NAT estático e dinâmico simultaneamente. A etapa final é verificar se o NAT opera conforme o esperado .

3. Redirecionar o Tráfego TCP para Outra Porta ou Endereço TCP

Um servidor Web na rede interna é outro exemplo de quando pode ser necessário que os dispositivos na Internet iniciem a comunicação com dispositivos internos. Em alguns casos, o servidor Web interno pode ser configurado para escutar o tráfego da Web em uma porta TCP diferente da porta 80. Por exemplo, o servidor Web interno pode ser configurado para ouvir a porta TCP 8080. Nesse caso, você pode usar NAT para redirecionar o tráfego destinado à porta TCP 80 para a porta TCP 8080.

Porta TCP de tráfego da Web

Depois de definir as interfaces conforme mostrado no diagrama de rede anterior, você pode decidir que deseja que o NAT redirecione pacotes do exterior destinados a 172.16.10.8:80 para 172.16.10.8:8080. Você pode usar um comando static nat a fim traduzir o número de porta de TCP para conseguir isto. Uma configuração de exemplo é mostrada aqui.

Configure o NAT para redirecionar o tráfego TCP para outra porta ou endereço TCP

interface ethernet 0 
 ip address 172.16.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 10.200.200.5 255.255.255.252
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Static NAT command that states any packet received in the inside 
!--- interface with a source IP address of 172.16.10.8:8080 is 
!--- translated to 172.16.10.8:80. 

Observação: a descrição de configuração do comando NAT estático indica que qualquer pacote recebido na interface interna com um endereço de origem 172.16.10.8:8080 é convertido em 172.16.10.8:80. Isto igualmente implica que todo o pacote recebido na interface externa com um endereço de destino de 172.16.10.8:80 tem o destino traduzido a 172.16.10.8:8080.

A etapa final é verificar se o NAT opera conforme o esperado .

show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
tcp 172.16.10.8:80     172.16.10.8:8080   ---                ---

4. Usar NAT para uma transição de rede

O NAT é útil quando você precisa endereçar novamente os dispositivos na rede ou quando você substitui um dispositivo por outro. Por exemplo, se todos os dispositivos no uso da rede um servidor particular e este server precisam de ser substituídos com um novo que tenha um endereço IP novo, a reconfiguração de todos os dispositivos de rede para usar o endereço do servidor novo toma alguma hora. Entretanto, você pode usar o NAT a fim configurar os dispositivos com o endereço velho para traduzir seus pacotes para comunicar-se com o server novo.

Transição de rede NAT

Depois de definir as interfaces de NAT como ilustra a imagem anterior, você pode decidir que deseja que o NAT permita que pacotes externos destinados ao endereço do servidor antigo (172.16.10.8) sejam convertidos e enviados ao novo endereço do servidor. Observe que o novo servidor está em outra LAN, e os dispositivos nessa LAN ou qualquer dispositivo acessível através dessa LAN (dispositivos na parte interna da rede), devem ser configurados para usar o novo endereço IP do servidor, se possível.

É possível utilizar a NAT estática para realizar o que você necessita. Esta é uma configuração de exemplo.

Configurar o NAT para uso através de uma transição de rede

interface ethernet 0
 ip address 172.16.10.1 255.255.255.0
 ip nat outside

!--- Defines Ethernet 0 with an IP address and as a NAT outside interface.


interface ethernet 1
 ip address 172.16.50.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 10.200.200.5 255.255.255.252

!--- Defines serial 0 with an IP address. This interface is not 
!--- participating in NAT.


ip nat inside source static 172.16.50.8 172.16.10.8

!--- States that any packet received on the inside interface with a 
!--- source IP address of 172.16.50.8 is translated to 172.16.10.8.

Observação: o comando inside source NAT neste exemplo também implica que os pacotes recebidos na interface externa com um endereço destino 172.16.10.8 têm o endereço destino convertido em 172.16.50.8.

A etapa final é verificar se o NAT opera conforme o esperado .

5. Usar NAT para redes que se sobrepõem

As redes que se sobrepõem resultam quando você atribui endereços IP a dispositivos internos que já são usados por outros dispositivos na Internet. Essas redes também resultam quando duas empresas, que usam endereços IP RFC 1918 em suas redes, se fundem. Essas duas redes precisam se comunicar, de preferência sem que todos os seus dispositivos tenham sido reendereçados.

Diferença entre o Mapeamento Um para Um e Muitos para Muitos

Uma configuração do NAT estático cria um mapeamento um a um e traduz um endereço específico a um outro endereço. O este tipo de configuração cria uma entrada permanente na tabela NAT enquanto a configuração esta presente e a permite tanto dentro como fora dos anfitriões de iniciar uma conexão. Isto é na maior parte útil para os anfitriões que fornecem serviços de aplicativo como o correio, Web, FTP e assim por diante. Por exemplo:

Router(config)#ip nat inside source static 10.3.2.11 10.41.10.12
Router(config)#ip nat inside source static 10.3.2.12 10.41.10.13

O NAT dinâmico é útil quando menos endereços estão disponíveis do que o número real de anfitriões a ser traduzidos. Cria uma entrada na tabela NAT quando o host inicia uma conexão e estabelece um mapeamento um a um entre os endereços. Mas, o traço pode variar e depende em cima do endereço registrado disponível no pool na altura da comunicação. O NAT dinâmico permite que as sessões sejam iniciadas somente do interior ou as redes externas para que é configurado. As entradas NAT dinâmicas estão removidas da tabela de tradução se o host não se comunica por um período de tempo específico que seja configurável. O endereço é retornado então ao pool para o uso de um outro host.

Por exemplo, termine estas etapas da configuração detalhada:

1. Crie um conjunto de endereço.

   Router(config)#ip nat pool MYPOOLEXAMPLE 10.41.10.1 10.41.10.41 netmask 255.255.255.0
   

2. Crie uma lista de acesso para as redes internas que tenha que ser traçada.

   Router(config)#access-list 100 permit ip 10.3.2.0 0.0.0.255 any
   

3. Associe a lista de acesso 100 que seleciona a rede interna 10.3.2.0 0.0.0.255 a ser vinculada ao pool MYPOOLEXAMPLE e, em seguida, sobrecarregue os endereços.

   Router(config)#ip nat inside source list 100 pool MYPOOLEXAMPLE overload
   

Verifique a operação NAT

Depois de configurar o NAT, verifique se ele funciona conforme esperado. Você pode fazer isso de várias maneiras: com um analisador de rede, comandos show ou comandos debug. Para obter um exemplo detalhado de verificação de NAT, consulte Verify NAT Operation and Basic NAT .

Conclusão

Os exemplos neste documento demonstram as etapas de início rápido que podem ajudá-lo a configurar e implantar o NAT.

Estão entre as etapas de início rápido:

1. Defina as interfaces interna e externa de NAT.

2. O que você deseja realizar com o NAT.

3. Configure o NAT para realizar o que você definiu na Etapa 2.

4. Verifique a operação NAT.

Em cada um dos exemplos anteriores, várias formas do comando ip nat insideforam usadas. Você também pode usar o comando ip nat outsidepara atingir os mesmos objetivos, mas tenha em mente a ordem de operações do NAT. Para obter exemplos de configuração que usam os comandos ip nat outside, consulte Configuração de Exemplo que Usa o Comando IP NAT Outside Source List .

Os exemplos anteriores igualmente demonstraram estas ações:

Informações Relacionadas

• NAT: Definições locais e globais.
• Página de suporte de NAT
• Página de suporte aos protocolos de roteamento IP
• Página de Suporte do IP Routing
• IP Addressing Services
• Ordem de Operação NAT
• Perguntas mais frequentes sobre o Cisco IOS NAT
• Suporte Técnico e Documentação - Cisco Systems