Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

Opções de download

  • PDF     (361.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (103.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (114.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:9 de abril de 2007
ID do documento:12905

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

A Tradução de Endereço de Rede (NAT) do Cisco IOS® foi projetada para a simplificação e a conservação do endereço IP. Isso permite a inter-redes IP privadas o uso de endereços IP não registrados para se conectarem à Internet. O NAT opera em um roteador Cisco que se conecta a duas redes juntas e traduz os endereços privados (dentro do local) na rede interna para endereços públicos (fora do local) antes dos pacotes serem encaminhados a outra rede. Como parte dessa funcionalidade, o NAT pode ser configurado para anunciar apenas um único endereço de toda a rede para o mundo externo. Isto oculta eficazmente a rede interna do mundo. Consequentemente, isso fornece uma segurança adicional.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Informações de Apoio

Uma das principais características do NAT é a Conversão de Endereço de Porta (PAT - Port Address Translation) estática, que também é conhecida como "sobrecarga" em uma configuração do Cisco IOS. O PAT estático foi projetado para permitir o mapeamento um para um entre endereços locais e globais. Um uso comum do PAT estático é permitir que usuários da Internet da rede pública acessem um servidor Web localizado na rede privada.

Para obter mais informações sobre o NAT, consulte as páginas de Suporte técnico do NAT.

Esta tabela mostra os três blocos de espaço de endereço IP disponíveis para redes privadas. Consulte o RFC 1918 leavingcisco.com para obter mais detalhes sobre essas redes especiais.

Espaço de endereço IP Classe
10.0.0.0 - 10.255.255.255 (10/8 prefix) Classe A
172.16.0.0 - 172.31.255.255 (prefixo 172.16/12) Classe B
192.168.0.0 - 192.168.255.255 (prefixo 192.168/16) Classe C

Observação: o primeiro bloco não é nada além de um único número de rede de classe A, enquanto o segundo bloco é um conjunto de 16 números de rede de classe B contíguos e o terceiro bloco é um conjunto de 256 números de rede de classe C contíguos.

Neste exemplo, o ISP atribui ao assinante DSL apenas um único endereço IP, 171.68.1.1/24. O endereço IP atribuído é um endereço IP exclusivo registrado e é chamado de endereço global interno. Esse endereço IP registrado é usado por toda a rede privada para navegar na Internet e também pelos usuários da Internet que vêm da rede pública para acessar o servidor Web na rede privada.

A LAN privada, 192.168.0.0/24, está conectada à interface Ethernet do roteador NAT. Esta LAN privada contém vários PCs e um servidor Web. O roteador NAT é configurado para converter os endereços IP não registrados (endereços locais internos) que vêm desses PCs em um único endereço IP público (global interno - 171.68.1.1) para navegar na Internet.

O endereço IP 192.168.0.5 (servidor Web) é um endereço no espaço de endereço privado que não pode ser roteado para a Internet. O único endereço IP visível para os usuários da Internet pública acessarem o servidor Web é 171.68.1.1. Portanto, o roteador NAT é configurado para executar um mapeamento um para um entre o endereço IP 171.68.1.1, porta 80 (a porta 80 é usada para navegar na Internet) e 192.168.0.5, porta 80. Esse mapeamento permite que os usuários da Internet no lado público tenham acesso ao servidor Web interno.

Essa topologia de rede e configuração de exemplo podem ser usadas para o WIC ADSL Cisco 827, 1417, SOHO77 e 1700/2600/3600. Como exemplo, o Cisco 827 é usado neste documento.

Configurar

Nesta seção, você verá as informações que podem ser usadas para configurar os recursos descritos neste documento.

Observação: para encontrar informações adicionais sobre os comandos usados neste documento, consulte a ferramenta IOS Command Lookup (somente clientes registrados) .

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede.

827spat.gif

Configuração

Cisco 827 
Current Configuration:
! 
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 

!--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network !--- that is network address translated. 

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

Verificar

Na saída do comando show ip nat translation, o local interno é o endereço IP configurado atribuído ao servidor Web na rede interna. Observe que 192.168.0.5 é um endereço no espaço de endereço privado que não pode ser roteado para a Internet. O global interno é o endereço IP do host interno, que é o servidor da Web, como aparece para a rede externa. Esse endereço é o conhecido pelas pessoas que tentam acessar o servidor Web a partir da Internet.

O Local externo é o endereço IP do host externo como ele aparece para a rede interna. Não é necessariamente um endereço legítimo. Mas ele é alocado a partir de um espaço de endereço que pode ser roteado internamente.

O endereço global externo é o endereço IP atribuído a um host na rede externa pelo proprietário do host. O endereço é alocado de um endereço ou espaço de rede que pode ser roteado globalmente.

Observe que o endereço 171.68.1.1 com o número de porta 80 (HTTP) é convertido em 192.168.0.5, porta 80, e vice-versa. Portanto, os usuários da Internet podem navegar no servidor Web mesmo que ele esteja em uma rede privada com um endereço IP privado.

Para obter mais informações sobre como solucionar problemas do NAT, consulte Verificação da operação do NAT e Solução de problemas do NAT básico. 

827#
827#show ip nat translation
Pro Inside global      Inside local      Outside local       Outside global
tcp 171.68.1.1:80      192.168.0.5:80    ---                 ---
tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000
827#

Troubleshoot

Para solucionar problemas de tradução de endereço, você pode executar os comandos term mon e debug ip nat detailed no roteador para ver se o endereço é convertido corretamente. O endereço IP visível para usuários externos acessarem o servidor Web é 171.68.1.1. Por exemplo, os usuários do lado público da Internet que tentam acessar a porta 80 (www) 171.68.1.1 são automaticamente redirecionados para a porta 80 (www) 192.168.0.5, que nesse caso é o servidor Web.

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
02-Dec-2013
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos