Configurando o NAT Estático e o NAT Dinâmico Simultaneamente

Transcrição

1 Configurando o NAT Estático e o NAT Dinâmico Simultaneamente Índice Introdução Pré-requisitos Requisitos Componentes Usados Convenções Configurando o NAT Informações Relacionadas Introdução Em algumas situações, talvez você ache necessário configurar os comandos Network Address Translation (NAT) estático e dinâmico em um roteador Cisco. Este documento explica como fazer isso e fornece um exemplo de cenário. Pré-requisitos Requisitos O conhecimento de operações e conceitos NAT básicos é útil. Como o NAT funciona Ordem de Operação do NAT Para obter informações adicionais, consulte a seção Informações Relacionadas deste documento. Componentes Usados As informações neste documento são baseadas nestas versões de hardware e software: Cisco 3600 Series Routers Cisco IOS Software Release 12.3(3) As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos. Convenções Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco. Configurando o NAT Com o NAT dinâmico, as traduções não existem na tabela de NAT até que o roteador receba o tráfego que necessite de tradução. As traduções dinâmicas possuem um tempo de expiração e após esse período elas são removidas da tabela de tradução. Com o NAT estático, haverá traduções na tabela de tradução NAT assim que você configurar os comandos NAT estáticos. Essas traduções permanecem na tabela até que os comandos NAT sejam excluídos. O diagrama de rede a seguir é um exemplo:

2 Esses comandos são configurados no roteador NAT mostrado acima: Roteador NAT ip nat pool test netmask Consulte. ip nat pool source list 7 pool test --- Consulte source source static interface e 0 ip address interface s 0 ip address ip nat outside ip route access-list 7 permit A configuração no dispositivo ExternoA é: Roteador ExternoA

3 hostname outsidea interface Serial1/0 ip address serial restart-delay 0 clockrate interface FastEthernet2/0 ip address speed auto half-duplex ip route A configuração no dispositivo InternoA é: Roteador InternoA interface Ethernet1/0 ip address half-duplex ip route Usando o comando show ip nat translations, você pode visualizar o conteúdo da tabela de tradução: NATrouter#show ip nat translations Pro Inside global Inside local Outside local Outside global Observe que somente a tradução estática está listada na tabela de tradução. Esta entrada converte o endereço global interno de volta para o endereço local interno, o que significa que os dispositivos na nuvem externo poderão enviar pacotes ao endereço global e alcançar o dispositivo na nuvem interna que tem o endereço local O mesmo é mostrado a seguir: outsidea#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms NATrouter#debug ip nat 18:12:06: NAT*: s= , d= > [1005] 18:12:06: NAT: s= > , d= [1005] 18:12:06: NAT*: s= , d= > [1006] 18:12:06: NAT*: s= > , d= [1006] 18:12:06: NAT*: s= , d= > [1007] 18:12:06: NAT*: s= > , d= [1007] 18:12:06: NAT*: s= , d= > [1008] 18:12:06: NAT*: s= > , d= [1008] 18:12:06: NAT*: s= , d= > [1009] 18:12:06: NAT*: s= > , d= [1009]

4 Nenhuma outra tradução é gerada ou inserida na tabela de tradução até que o roteador receba um pacote em sua interface interna com um endereço de origem permitido pela lista de controle de acesso (ACL) 7. Entretanto, como ainda não foi inserida nenhuma tradução dinâmica, os dispositivos externos não podem alcançar nenhum dos dispositivos internos (além de ), mesmo se enviarem pacotes a um endereço global ( até ). Quando o roteador recebe um pacote destinado a um desses endereços globais, ele verifica se há uma tradução na tabela de tradução. Se não houver nenhum, ele tentará rotear o pacote. Este comportamento de NAT será discutido posteriormente em Configuração de Exemplo Usando o Comando ip nat outside source list e Configuração de Exemplo Usando o Comando ip nat outside source static. Na topologia acima, se a comunicação entre os dispositivos de rede internos e externos for originada apenas pelos dispositivos internos, a tradução dinâmica será realizada corretamente. Mas e se um servidor de for adicionado à rede interna que precisa receber pacotes de origem externa? Você precisará configurar uma entrada NAT estática para que os servidores de na parte externa possam originar a comunicação com o servidor de na parte interna. Se, no exemplo acima, o servidor de for o dispositivo com o endereço local de , já haverá uma tradução estática. No entanto, nos casos em que você não tem muitos endereços globais para poupar e precisa configurar estaticamente um único dispositivo para NAT, use uma configuração como a que é mostrada abaixo: Roteador NAT source list 7 interface serial 0 overload source static tcp Consulte source interface e 0 ip address consulte --- Para obter mais detalhes sobre o comando outside,. interface s 0 ip address ip nat outside access-list 7 permit ip route No exemplo acima, o NAT é configurado para sobrecarga em endereços IP de Serial 0. Isso significa que mais de um endereço local interno pode ser traduzido dinamicamente para o mesmo endereço global, nesse caso, o endereço atribuído ao Serial 0. Além disso, o NAT está configurado estaticamente para que pacotes com origem no endereço local com porta TCP 25 (SMTP) sejam convertidos na porta TCP 25 do endereço IP de Serial 0. Já que essa é uma entrada de NAT estático, servidores de externos podem originar pacotes SMTP (porta TCP 25) para o endereço global Observação: Embora seja possível usar o mesmo endereço global para o NAT Dinâmico e para o NAT Estático, sempre que possível é melhor utilizar endereços globais diferentes. A tabela de tradução NAT contém a seguinte entrada: NATRouter#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp : : A saída debug ip nat mostra a tradução NAT quando o dispositivo ExternoA acessa o InternoA: 04:21:16: NAT: s= , d= > [9919]

5 04:21:16: NAT: s= > , d= [0] 04:21:16: NAT*: s= , d= > [9922] 04:21:16: NAT*: s= , d= > [9923] 04:21:16: NAT*: s= > , d= [1] 04:21:16: NAT*: s= > , d= [2] 04:21:16: NAT*: s= > , d= [3] 04:21:16: NAT*: s= , d= > [9927] 04:21:16: NAT*: s= > , d= [4] 04:21:16: NAT: s= > , d= [5] 04:21:16: NAT*: s= , d= > [9931] 04:21:17: NAT*: s= , d= > [9934] 04:21:17: NAT: s= , d= > [9935] 04:21:17: NAT*: s= > , d= [6] Em resumo, o NAT dinâmico requer pacotes para serem comutados pelo roteador NAT para gerar traduções NAT na tabela de tradução. Se você usar o comando, esses pacotes deverão ser originados internamente. Se você usar o comando ip nat outside, esses pacotes deverão ser originados externamente. NAT estático não exige que os pacotes sejam comutados por meio do roteador e as traduções são inseridas estaticamente na tabela de tradução. Informações Relacionadas Configurando o Network Address Translation: Introdução Como o NAT funciona Perguntas Freqüentes Sobre o NAT Como Alterar a Configuração do NAT Dinâmico Página de Suporte Técnico do NAT Suporte Técnico - Cisco Systems Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 22 Maio