Configurando o NAT estático e dinâmico simultaneamente

Opções de download

PDF (218.2 KB)
Ver no Adobe Reader em vários dispositivos
ePub (102.0 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (129.3 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:21 de novembro de 2014

ID do documento:13778

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Prerequisites

Requirements

Componentes Utilizados

Conventions

Configurando o NAT

Informações Relacionadas

Discussões relacionadas da comunidade de suporte da Cisco

Introduction

Em algumas situações, talvez seja necessário configurar os comandos da Tradução de Endereço de Rede (NAT) estática e dinâmica em um roteador Cisco. Este documento explica como fazer isso e fornece um cenário de amostra.

Prerequisites

Requirements

O conhecimento de conceitos e operações básicos de NAT é útil.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Cisco 3600 Series Routers
Software Cisco IOS® versão 12.3(3)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configurando o NAT

Com o NAT dinâmico, as conversões não existem na tabela de NAT até que o roteador receba o tráfego que necessite de conversão. As conversões dinâmicas possuem um timeout e após esse período elas são removidas da tabela de conversão.

Com o NAT estático, haverá traduções na tabela de traduções NAT assim que você configurar os comandos NAT estáticos. Essas traduções permanecem na tabela até que os comandos NAT sejam excluídos.

O digrama de rede a seguir é um exemplo:

Esses comandos são configurados no roteador NAT mostrado acima:

NAT Router
version 12.3 ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0 !--- Refer to ip nat pool* for more details on the command.* . ip nat inside source list 7 pool test !--- Refer to ip nat inside source* for more details on the command.* ip nat inside source static 10.10.10.1 172.16.131.1 interface e 0 ip address 10.10.10.254 255.255.255.0 ip nat inside interface s 0 ip address 172.16.130.2 255.255.255.0 ip nat outside ip route 192.168.1.0 255.255.255.0 172.16.130.1 access-list 7 permit 10.10.10.0 0.0.0.255

NAT Router

version 12.3

ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0
 

 !--- Refer to  ip nat pool  for more details on the command.
.

ip nat inside source list 7 pool test  


!--- Refer to  ip nat inside source  for more details on the command.


ip nat inside source static 10.10.10.1 172.16.131.1

 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside

 interface s 0

 ip address 172.16.130.2 255.255.255.0

 ip nat outside

ip route 192.168.1.0 255.255.255.0 172.16.130.1

 access-list 7 permit 10.10.10.0 0.0.0.255

A configuração no dispositivo OutsideA é:

Roteador externo A
version 12.3 hostname outsideA ! ! ! interface Serial1/0 ip address 172.16.130.1 255.255.255.0 serial restart-delay 0 clockrate 64000 ! interface FastEthernet2/0 ip address 192.168.1.1 255.255.255.0 speed auto half-duplex ip route 172.16.131.0 255.255.255.0 172.16.130.2

Roteador externo A

version 12.3
hostname outsideA

!
!
!
interface Serial1/0

ip address 172.16.130.1 255.255.255.0

serial restart-delay 0

clockrate 64000

!

interface FastEthernet2/0

ip address 192.168.1.1 255.255.255.0

speed auto

half-duplex

ip route 172.16.131.0 255.255.255.0 172.16.130.2

A configuração no dispositivo InsideA é:

Roteador InsideA
version 12.3 ! interface Ethernet1/0 ip address 10.10.10.1 255.255.255.0 half-duplex ! ip route 0.0.0.0 0.0.0.0 10.10.10.254 ! !

Usando o comando show ip nat translations, você pode ver o conteúdo da tabela de tradução:

NATrouter#show ip nat translations
Pro Inside global    Inside local    Outside local    Outside global
--- 172.16.131.1     10.10.10.1      ---              ---

Observe que somente a tradução estática está listada na tabela de conversão. Esta entrada converte o endereço global interno de volta para o endereço local interno, o que significa que os dispositivos na nuvem externo poderão enviar pacotes ao endereço global 172.16.131.1 e alcançar o dispositivo na nuvem interna que tem o endereço local 10.10.10.1.

O mesmo é mostrado abaixo:

outsideA#ping 172.16.131.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.131.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

 

NATrouter#debug ip nat 

18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1005]
18:12:06: NAT: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1005]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1006]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1006]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1007]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1007]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1008]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1008]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1009]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1009]

Nenhuma outra tradução é gerada ou inserida na tabela de tradução até que o roteador receba um pacote em sua interface interna com um endereço de origem permitido pela lista de controle de acesso (ACL) 7.

Entretanto, como ainda não foi inserida nenhuma tradução dinâmica, os dispositivos externos não podem alcançar nenhum dos dispositivos internos (além de 10.10.10.1), mesmo se enviarem pacotes a um endereço global (172.16.131.2 até 172.16.131.10). Quando o roteador recebe um pacote destinado a um desses endereços globais, ele verifica se há uma conversão na tabela de conversões. Se não houver nenhum, ele tentará rotear o pacote. Este comportamento de NAT será discutido posteriormente em Configuração de Exemplo Usando o Comando ip nat outside source list e Configuração de Exemplo Usando o Comando ip nat outside source static.

Na topologia acima, se a comunicação entre os dispositivos de rede internos e externos for originada apenas pelos dispositivos internos, a conversão dinâmica será realizada corretamente. Mas e se um servidor de e-mail for adicionado à rede interna que precisa receber pacotes originados pelo exterior? Agora, é necessário configurar uma entrada NAT estática para que os servidores de e-mail na parte externa possam originar a comunicação com o servidor de e-mail na parte interna. Se no exemplo acima, o servidor de e-mail for o dispositivo com o endereço local de 10.10.10.1, já haverá uma tradução estática.

No entanto, nos casos em que você não tem muitos endereços globais para poupar e precisa configurar estaticamente um único dispositivo para NAT, use uma configuração como a que é mostrada abaixo:

NAT Router
ip nat inside source list 7 interface serial 0 overload ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25 !--- Refer to ip nat inside source* for more details on the command.* interface e 0 ip address 10.10.10.254 255.255.255.0 ip nat inside !--- For more details the ip nat inside\|outside* command, !--- please refer to ip nat inside .* interface s 0 ip address 172.16.130.2 255.255.255.0 ip nat outside access-list 7 permit 10.10.10.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 172.16.130.1

NAT Router

ip nat inside source list 7 interface serial 0 overload


ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25

!--- Refer to  ip nat inside source  for more details on the command.


 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside 

!--- For more details the ip nat inside|outside command, !--- please refer to  ip nat inside .


 interface s 0

ip address 172.16.130.2 255.255.255.0

ip nat outside 

 access-list 7 permit 10.10.10.0 0.0.0.255

 ip route 0.0.0.0 0.0.0.0 172.16.130.1

No exemplo acima, o NAT é configurado para sobrecarregar os endereços IP de 0s Seriais. Isso significa que mais de um endereço local interno pode ser traduzido dinamicamente para o mesmo endereço global, nesse caso, o endereço atribuído ao Serial 0. Além disso, o NAT é configurado estaticamente para que os pacotes originados do endereço local 10.10.10.1 com a porta TCP 25 (SMTP) sejam convertidos para o endereço IP da porta TCP 25 do Serial 0. Como essa é uma entrada de NAT estático, os servidores de e-mail externos podem originar pacotes SMTP (porta TCP 25) para o endereço global 172.16.131.254.

Observação: embora seja possível usar o mesmo endereço global para o NAT dinâmico e estático, sempre que possível, é melhor usar endereços globais diferentes.

A tabela de tradução NAT tem a seguinte entrada:

NATRouter#show ip nat translations

   Pro Inside global    Inside local   Outside local Outside global

   tcp 172.16.130.2:25  10.10.10.1:25      ---          ---

A saída debug ip nat mostra a conversão NAT quando o dispositivo externoA acessa InsideA:

04:21:16: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1    [9919]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [0]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9922]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9923]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [1]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [2]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [3]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9927]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [4]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [5]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9931]

   04:21:17: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9934]

   04:21:17: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9935]

   04:21:17: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [6]

Em resumo, o NAT dinâmico requer pacotes para serem comutados pelo roteador NAT para gerar conversões de NAT na tabela de conversão. Se você usar o comando ip nat inside, esses pacotes devem ser originados do interior. Se você usar o comando ip nat outside, esses pacotes deveram ser originados na parte externa.

NAT estática não exige que os pacotes sejam comutados por meio do roteador e as conversões são inseridas estaticamente na tabela de conversão.