Exemplo de Configuração de NAT em Catalyst 6500/6000 Switches

Introduction

Este documento explica como configurar a Tradução de Endereço de Rede (NAT) nos switches da série Cisco Catalyst 6500/6000.

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Familiaridade com o funcionamento do NAT.

  Consulte Como o NAT funciona para obter mais informações.

• Familiaridade com os comandos a serem usados para configurar o NAT em um roteador.

  Para obter mais informações sobre os comandos, consulte Configuração da Conversão de Endereço de Rede: Introdução.

Componentes Utilizados

As informações neste documento são baseadas no Cisco Catalyst 6500 Series Switch com Supervisor Engine 720 que executa o Cisco IOS® Software Release 12.2(18)SXD6 e o Cisco Catalyst 6500 Series Switch com Supervisor Engine II que executa o CatOS Software Release 8.4(4).

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produtos Relacionados

Essa configuração também pode ser usada com os switches Cisco Catalyst 6000 Series.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços da RFC1918 que foram usados em um ambiente de laboratório.

Configurações do Cisco IOS

Neste exemplo de configuração, o NAT é configurado para sobrecarregar no endereço IP da interface FastEthernet 4/4. Isso significa que mais de um endereço local interno pode ser traduzido dinamicamente para o mesmo endereço global. Nesse caso, o endereço atribuído à interface FastEthernet 4/4.

Além disso, o NAT é configurado estaticamente para que os pacotes originados do endereço local 10.10.10.2 com a porta TCP 25 (SMTP) sejam convertidos para a porta TCP 2525 do endereço IP da interface FastEthernet 4/4. Como essa é uma entrada de NAT estático, os clientes de e-mail externos podem originar pacotes SMTP para o endereço global 172.16.10.64. A porta externa foi escolhida como 2525 para evitar ataques de negação de serviço.

6509sup720#show running-config 
 Building configuration...
 Current configuration : 7524 bytes
 !
 version 12.2
 service timestamps debug datetime
 service timestamps log datetime msec localtime
 service password-encryption
 service counters max age 10
 !
 hostname 6509sup720
 !
 boot system sup-bootflash:s72033-psv-mz.122-18.SXD6.bin
 !username maui-nas-05 password cisco

 !
no ip domain-lookup
!
no mls flow ip
no mls flow ipv6
spanning-tree mode pvst
!
redundancy
 mode sso
 main-cpu
!
!
interface FastEthernet4/4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines interface FastEthernet 4/4 with an IP address and as a !--- NAT outside interface.

!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 2 with an IP address and as a NAT inside !--- interface.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 3 with an IP address and as a NAT inside !--- interface.

!

ip nat inside source list 100 interface FastEthernet 4/4 overload

!--- Specifies the translation for inside workstations and !--- servers to access the outside world.

ip nat inside source static tcp 10.10.10.2 25 interface FastEthernet 4/4 2525

!--- Specifies the static mapping for the outside email clients !--- to access the inside email server.


!--- Refer to ip nat inside source for more details !--- on the command.

!
!
ip classless
no ip http server
!

!--- ACL 100 permits only the desired traffic for translation.

access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any
!
line con 0
transport input none
line vty 0 4 
!
end

Configurações CatOS

Para os switches executados no modo Híbrido, primeiro é necessário configurar as VLANs no Supervisor e depois aplicar a configuração de NAT no MSFC. Em vez de ter uma interface de porta externa, você precisa configurar uma interface VLAN porque, no modo Híbrido, você não pode especificar um endereço IP para uma porta específica.

!--- Configure VLAN 2, VLAN 3 and VLAN 4 on the Supervisor.


!--- Add VLAN 2.

Catalyst6500> (enable) set vlan 2
VLAN 2 configuration successful


!--- Add VLAN 3.

Catalyst6500> (enable) set vlan 3
VLAN 3 configuration successful


!--- Add VLAN 4.

Catalyst6500> (enable) set vlan 4
VLAN 4 configuration successful


!--- Assign port fa4/4 to VLAN 4.

Catalyst6500> (enable) set vlan 4 4/4
VLAN 4 modified.
VLAN 1 modified.
VLAN  Mod/Ports
---- -----------------------
4     4/4
Catalyst6500> (enable)

MSFC#show running-config
Building configuration...

Current configuration : 1024 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot system flash bootflash:c6msfc2-jk2o3sv-mz.121-26.E1.bin
!
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
redundancy
 high-availability
 single-router-mode
!
!         
!
!
!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 2 with an IP address and as a NAT inside !--- interface.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 3 with an IP address and as a NAT inside !--- interface.

!
interface Vlan4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines interface VLAN 4 with an IP address and as a NAT outside !--- interface.

!
ip nat inside source list 100 interface Vlan4 overload

!--- Specifies the translation for inside workstations and !--- servers to access the outside world.

ip nat inside source static tcp 10.10.10.2 25 interface Vlan4 2525

!--- Specifies the static mapping for the outside email clients !--- to access the inside email server.


ip classless
no ip http server
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any

!--- ACL 100 permits only the desired traffic for translation.

!
!
line con 0
line vty 0 4
 no login
!
!
end

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show

• show ip nat translations — Exibe as conversões NAT ativas.

  Cat6k#show ip nat translations 
  Pro Inside global      Inside local       Outside local      Outside global
  tcp 172.16.10.64:2525  10.10.10.2:25        ---                  ---    

• show ip access-list —Exibe o conteúdo de todas as listas de acesso IP atuais.

  Cat6k#show ip access-lists 
  Extended IP access list 100
      permit ip 10.10.10.0 0.0.0.255 any (32 matches)
      permit ip 10.10.20.0 0.0.0.255 any (22 matches)
      deny ip any any 

• show ip nat statistics — Exibe estatísticas de NAT.

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

• debug ip nat —Exibe informações sobre os pacotes IP convertidos pelo recurso IP NAT.

  Cat6k#debug ip nat
  IP NAT debugging is on
  Cat6k#
  *Mar  1 01:40:47.692 CET: NAT: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [80]
  *Mar  1 01:40:47.720 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [80]
  *Mar  1 01:40:47.720 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [81]
  *Mar  1 01:40:47.748 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [81]
  *Mar  1 01:40:47.748 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [82]
  *Mar  1 01:40:47.784 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [82]
  *Mar  1 01:40:47.784 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [83]
  *Mar  1 01:40:47.836 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [83]
  *Mar  1 01:40:47.836 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [84]
  *Mar  1 01:40:47.884 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [84]

• clear ip nat translation *—Limpa as conversões dinâmicas de NAT (Network Address Translation) da tabela de tradução.

Comandos relacionados

• ip nat —Designa que o tráfego originado ou destinado à interface está sujeito ao NAT.

• ip nat inside destination — Ativa o NAT do endereço de destino interno.

• ip nat inside source — Ativa o NAT do endereço de origem interno.

• ip nat outside source — Ativa o NAT do endereço de origem externo.

Informações Relacionadas

• Tradução de Endereço de Rede Matriz de Suporte do Switch Catalyst
• Página de suporte de NAT
• Cisco Catalyst 6500 Series Switches
• Suporte a Produtos de LAN
• Suporte de tecnologia de switching de LAN
• Suporte Técnico e Documentação - Cisco Systems