أمر تكوين IP NAT خارج المصدر الثابت

المقدمة

يصف هذا وثيقة تشكيل أن يستعمل ال ip nat خارج مصدر ساكن إستاتيكي أمر وال ip ربط ينتج من ال nat عملية.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالموضوع التالي:

• إستخدام مصطلحات NAT المحلية والعالمية

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى موجهات Cisco التي تشغل إصدار برنامج Cisco IOS® Software.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يزود هذا وثيقة عينة تشكيل مع الإستعمالمن ip nat خارجي مصدر ساكن إستاتيكي أمر ويتضمن وصف موجز لما يحدث إلى الربط ip أثناء ال nat عملية. ضع في حسبانك مخطط العمل الآني في هذا المستند كمثال.

التكوين

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي.

الرسم التخطيطي للشبكة

عندما تقوم بإصدار إختبار اتصال مصدر من واجهة الاسترجاع1 الخاصة بالموجه R1 الموجهة إلى واجهة الاسترجاع0 الخاصة بالموجه R2، فهذا هو ما يحدث:

1. على الواجهة الخارجية (Gi0/0) من ال NAT-Router، يظهر إختبار الاتصال ربط مع مصدر عنوان (SA) 172.16.89.32 وغاية عنوان (DA) 172.31.1.1.
2. nat يترجم ال sa إلى الخارج عنوان محلي 172.31.16.5 (يماثل ال ip nat خارجي مصدر ساكن إستاتيكي يشكل على ال NAT-router).
3. وبعد ذلك، يتحقق موجه الشبكة (NAT) من جدول التوجيه الخاص به للوصول إلى 172.31.1.1.
   • إذا لم يكن المسار موجودا، يقوم موجه NAT بإسقاط الحزمة. ومع ذلك، في هذه الحالة، يحتوي موجه NAT على مسار إلى 172.31.1.1 من خلال المسار الثابت الذي تم تكوينه للشبكة الفرعية 172.31.1.0/24. هو يرسل الربط إلى الغاية.
4. يستلم الموجه R2 الحزمة على الواجهة الواردة (Gi0/0)، الآن مع SA 172.31.16.5 و DA من 172.31.1.1.
5. للرد، يرسل R2 رد صدى بروتوكول رسائل التحكم في الإنترنت (ICMP) إلى 172.31.16.5 (عنوان NATted).
   • إذا لم يكن للخادم R2 مسار، فإنه يقوم بإسقاط الحزمة. ومع ذلك، في هذه الحالة، فإنها تحتوي على مسار افتراضي نحو موجه NAT.
   • لذلك، يرسل هو رد ربط إلى ال NAT-Router، مع SA 172.31.1.1 و DA 172.31.16.5.
6. يرى ال NAT-Router الربط ويتحقق من مسار إلى ال 172.31.16.5 عنوان.
   • إذا لم يكن لديه واحد، فيرد باستخدام رد ICMP الذي يتعذر الوصول إليه.
   • في هذه الحالة، لديه مسار ساكن إستاتيكي مكون على شبكة 172.31.16.0/24 فرعية تشير إلى R1.
   • هو يترجم الربط back to ال 172.16.89.32 عنوان ويرسل هو خارج قارن خارجي (Gi0/0).

التكوينات

يستخدم هذا المستند التكوينات التالية:

• الموجه R1

• موجه NAT-Router

• الموجه R2

hostname R1
!

!--- Output suppressed.

!
interface Loopback1
 ip address 172.16.89.32 255.255.255.0
!
interface GigabitEthernet0/0
 ip address 172.16.191.254 255.255.255.252
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 no ip address
 shutdown
!  
!--- Output suppressed.  

ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to NAT-Router.  
!--- Output suppressed. 

hostname NAT-Router
!

!--- Output suppressed.

!
interface GigabitEthernet0/0
 ip address 172.16.191.253 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 172.31.192.202 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
! 

!--- ip nat command defines GigabitEthernet0/1 as a NAT inside interface and GigabitEthernet0/0 as a NAT outside interface. 

!--- Output suppressed.  

!
no ip http server
no ip http secure-server
ip nat outside source static 172.16.89.32 172.31.16.5
ip route 172.31.1.0 255.255.255.0 172.31.192.201
ip route 172.31.16.0 255.255.255.0 172.16.191.254
! 

!--- Outside local address is defined as 172.31.16.5.
!--- Static routes for reaching the loopback interfaces on R2 and subnet 172.31.16.0 towards R1.

ملاحظة: لاحظ أنه في هذا السيناريو الخاص، لا حاجة إلى مسار ثابت يشير إلى الاسترجاع 1 على R1. وذلك لأنه عندما يدخل رد ICMP موجه NAT، يتم التحقق من جدول التوجيه للوجهة أولا، ومن ثم يتم إجراء ترجمة العنوان.

hostname R2
!

!--- Output suppressed.

!
interface Loopback0
 ip address 172.31.1.1 255.255.255.0
!
interface GigabitEthernet0/0
 ip address 172.31.192.201 255.255.255.0
 duplex auto
 speed auto
!           

!--- Output suppressed.  

ip route 0.0.0.0 0.0.0.0 172.31.192.202 

!--- Default route to forward packets to NAT-Router. 
!--- Output suppressed. 

التحقق

أستخدم الأمر show ip nat translation للتحقق من إدخالات الترجمة، كما يوضح هذا الإخراج:

NAT-Router#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                172.31.16.5        172.16.89.32
icmp 172.31.1.1:21     172.31.1.1:21      172.31.16.5:21     172.16.89.32:21
NAT-Router#

استكشاف الأخطاء وإصلاحها

يستخدم هذا المثال تصحيح أخطاء ترجمة NAT وتصحيح حزم IP لتوضيح عملية NAT.

تحذير: نظرا لأن أوامر تصحيح الأخطاء تقوم بإنشاء كمية كبيرة من الإخراج، فإنها لا تستخدمها إلا عندما تكون حركة المرور على شبكة IP منخفضة حتى لا تتأثر الأنشطة الأخرى على النظام سلبا.

ملاحظة: تم أخذ مخرجات تصحيح الأخطاء هذه من الموجهات التي تشغل برنامج Cisco IOS Software. يمكن أن تختلف مجموعة مخرجات تصحيح الأخطاء هذه بناء على النظام الأساسي المستخدم.

ملاحظة: راجع المعلومات المهمة حول أوامر التصحيح قبل استخدام أوامر debug.

هذا الإخراج هو نتيجة إستخدام أوامر debug ip packet وdebug ip nat في نفس الوقت على الموجه NAT، أثناء الضغط من عنوان الواجهة R1 loopback1 (172.16.89.32) إلى عنوان واجهة R2 loopback0 (172.31.1.1).

يعرض هذا الإخراج الحزمة الأولى التي تصل إلى الواجهة الخارجية ل NAT-Router. تتم ترجمة عنوان المصدر 172.16.89.32 إلى 172.31.16.5. تتم إعادة توجيه حزمة ICMP نحو الوجهة خارج واجهة GigabitEthernet0/1.

*Sep 19 15:34:39.925: NAT: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [100]
*Sep 19 15:34:39.925: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.926: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, Common Flow Table(29), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.926: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, Stateful Inspection(30), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.927: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, NAT ALG proxy(63), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.927: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), g=172.31.192.201, len 100, forward
*Sep 19 15:34:39.928: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, sending full packet

يبدي هذا إنتاج الربط رجوع مصدر من 172.31.1.1 مع غاية عنوان 172.31.16.5، أي يحصل ترجمت إلى 172.16.89.32. يتم إعادة توجيه حزمة ICMP الناتجة من واجهة GigabitEthernet0/0 (NAT-Router).

*Sep 19 15:34:39.930: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [100]
*Sep 19 15:34:39.930: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [100]

يستمر تبادل حزم ICMP. عملية NAT لمخرج تصحيح الأخطاء هذا هي نفسها للمخرج السابق.

*Sep 19 15:34:39.932: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [101]
*Sep 19 15:34:39.932: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [101]
*Sep 19 15:34:39.933: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [101]
*Sep 19 15:34:39.933: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [101]
*Sep 19 15:34:39.935: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [102]
*Sep 19 15:34:39.935: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [102]
*Sep 19 15:34:39.936: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [102]
*Sep 19 15:34:39.936: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [102]
*Sep 19 15:34:39.938: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [103]
*Sep 19 15:34:39.938: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [103]
*Sep 19 15:34:39.939: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [103]
*Sep 19 15:34:39.939: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [103]
*Sep 19 15:34:39.940: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [104]
*Sep 19 15:34:39.940: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [104]
*Sep 19 15:34:39.942: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [104]
*Sep 19 15:34:39.942: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [104]

ملخص

عندما تنتقل الحزمة من الخارج إلى الداخل، تحدث الترجمة أولا، ثم يتم التحقق من جدول التوجيه للوجهة.

عندما تنتقل الحزمة من الداخل إلى الخارج، يتم التحقق من جدول التوجيه للوجهة أولا، ثم تحدث الترجمة.

راجع ترتيب عملية NAT للحصول على مزيد من المعلومات.

لاحظ الجزء من حزمة IP التي يتم ترجمتها عند إستخدامها مع كل أمر من الأوامر السابقة. يحتوي هذا الجدول على التوجيه:

تشير هذه الإرشادات إلى أن هناك أكثر من طريقة لترجمة الحزمة. بناء على إحتياجاتك الخاصة، حدد كيفية تحديد واجهات NAT (داخل أو خارج) والتوجيه الذي يحتوي عليه جدول التوجيه قبل الترجمة أو بعدها. تذكر أن الجزء من الربط أن يكون ترجمت يعتمد على الإتجاه أن الربط يسافر، وكيف أنت تشكل nat.

معلومات ذات صلة

• نموذج تكوين باستخدام الأمر ip nat outside source list
• تكوين ترجمة عنوان الشبكة
• خدمات عنونة NAT IP
• الدعم الفني والتنزيلات من Cisco