Opdracht IP NAT buiten-bronlijst configureren

Downloadopties

PDF (335.8 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (151.6 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (109.4 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:4 oktober 2024

Document-id:13770

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Achtergrondinformatie

Conventies

Configureren

Netwerkdiagram

Configuraties

Verifiëren

Problemen oplossen

Samenvatting

Gerelateerde informatie

Inleiding

Dit document beschrijft hoe u de opdracht kunt configurerenip nat outside source listen beschrijft wat er tijdens het NAT-proces met het IP-pakket gebeurt.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco Routers waarop Cisco IOS®-softwarerelease wordt uitgevoerd.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

U kunt deze opdracht gebruiken om het bronadres van de IP-pakketten te vertalen die van de externe kant van het netwerk naar de interne kant van het netwerk worden verzonden. Deze actie vertaalt het doeladres van de IP-pakketten die in de tegenovergestelde richting worden verzonden, van binnen naar buiten het netwerk. Deze opdracht is nuttig in situaties zoals overlappende netwerken, waarbij de netwerkadressen aan de interne kant de adressen aan de externe kant overlappen. We gebruiken het netwerkdiagram als voorbeeld.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in dit document worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Network Diagram Netwerkdiagram

Wanneer een ping afkomstig is van de router R1 Loopback0-interface (172.16.88.1) naar de router R2 Loopback0-interface (172.31.1.1), vindt de volgende opeenvolging van gebeurtenissen plaats:

Packet Forwarding: router R1 stuurt de pakketten door naar de NAT-router omdat deze is geconfigureerd met een standaardroute. Op de buiteninterface van de NAT-router heeft het pakket een bronadres (SA) van 172.16.8.1 en een bestemmingsadres (DA) van 172.31.1.1.
NAT-omzetting: omdat de SA is toegestaan door toegangslijst 1, die wordt gebruikt door de opdracht IP NAT-bronlijst, wordt deze vertaald naar een adres uit de NAT-pool "NET". In dit geval wordt het adres vertaald naar 172.31.16.10, wat het eerste beschikbare adres in de NAT-pool is.
Routing naar bestemming: na vertaling zoekt de NAT-router naar de bestemming in de routeringstabel en routeert het pakket. De router R2 ontvangt het pakket op zijn inkomende interface met een SA van 172.31.16.10 en een DA van 172.31.1.1. De router R2 reageert door een ICMP-echoantwoord (Internet Control Message Protocol) op 172.31.16.10 te verzenden. Als router R2 geen route naar 172.31.16.10 heeft, laat het pakket vallen.
Antwoord Behandeling: In dit geval heeft de router R2 een standaardroute, zodat het antwoordpakket naar de NAT-router wordt verzonden, met behulp van een SA van 172.31.1.1 en een DA van 172.31.16.10. De NAT-router ontvangt het pakket op zijn binneninterface en controleert op een route naar het 172.31.16.10-adres. Als het geen route heeft, reageert het met een onbereikbaar antwoord ICMP.
Vertaling en routing terug: in dit geval heeft de NAT-router een route naar 172.31.16.10 vanwege de add-route optie van de ip Nat-buitenbronopdracht, die een hostroute toevoegt op basis van de vertaling tussen het externe globale en externe lokale adres. De NAT-router vertaalt het pakket terug naar het oorspronkelijke bronadres (172.16.8.1) en routeert het pakket vanuit zijn buiteninterface terug naar router R1.

Configuraties

Router R1

Router R1
`hostname R1 ! !--- Output suppressed. ! interface Loopback0 ip address 172.16.88.1 255.255.255.0 ! !--- Output suppressed. ! interface GigabitEthernet0/0 ip address 172.16.191.254 255.255.255.252 duplex auto speed auto ! !--- Output suppressed. ip route 0.0.0.0 0.0.0.0 172.16.191.253 !--- Default route to forward packets to NAT-Router. !--- Output suppressed.`

hostname R1 
!

!--- Output suppressed.

! 
interface Loopback0 
 ip address 172.16.88.1 255.255.255.0 
!

!--- Output suppressed.
 
!
interface GigabitEthernet0/0
 ip address 172.16.191.254 255.255.255.252
 duplex auto
 speed auto
!  

!--- Output suppressed.
 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to NAT-Router. 
!--- Output suppressed.

Router NAT-router

Router NAT-router
hostname NAT-Router ! !--- Output suppressed. ! interface GigabitEthernet0/0 ip address 172.16.191.253 255.255.255.252 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 ip address 172.31.192.202 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! ip nat pool NET 172.31.16.10 172.31.16.254 netmask 255.255.255.0 !--- NAT pool defining Outside Local addresses to be used for translation. ! ip nat outside source list 1 pool NET add-route ! !--- Configures translation for Outside Global addresses !--- with the NAT pool. ! ip route 172.16.88.0 255.255.255.0 172.16.191.254 ip route 172.31.1.0 255.255.255.0 172.31.192.201 ! !--- Static routes for reaching the loopback interfaces on R1 and R2. ! access-list 1 permit 172.16.88.0 0.0.0.255 ! !--- Access-list defining Outside Global addresses to be translated. !--- Output suppressed.

hostname NAT-Router 
! 

!--- Output suppressed.

!
interface GigabitEthernet0/0
 ip address 172.16.191.253 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 172.31.192.202 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
! 
ip nat pool NET 172.31.16.10 172.31.16.254 netmask 255.255.255.0 

!--- NAT pool defining Outside Local addresses to be used for translation. 

!
ip nat outside source list 1 pool NET add-route 
!

!--- Configures translation for Outside Global addresses !--- with the NAT pool. 

!
ip route 172.16.88.0 255.255.255.0 172.16.191.254
ip route 172.31.1.0 255.255.255.0 172.31.192.201 
!

!--- Static routes for reaching the loopback interfaces on R1 and R2.
 
!
access-list 1 permit 172.16.88.0 0.0.0.255 
!

!--- Access-list defining Outside Global addresses to be translated. 
!--- Output suppressed.

Router R2

Router R2
`hostname R2 ! !--- Output suppressed. interface Loopback0 ip address 172.31.1.1 255.255.255.0 ! ! interface GigabitEthernet0/0 ip address 172.31.192.201 255.255.255.0 duplex auto speed auto ! !--- Output suppressed. ip route 0.0.0.0 0.0.0.0 172.31.192.202 !--- Default route to forward packets to NAT-Router. !--- Output suppressed.`

hostname R2 
! 

!--- Output suppressed.

interface Loopback0 
 ip address 172.31.1.1 255.255.255.0 
! 
!
interface GigabitEthernet0/0
 ip address 172.31.192.201 255.255.255.0
 duplex auto
 speed auto 
! 

!--- Output suppressed.

ip route 0.0.0.0 0.0.0.0 172.31.192.202 

!--- Default route to forward packets to NAT-Router. 
!--- Output suppressed.

Verifiëren

Deze sectie verschaft informatie die u kunt gebruiken om te bevestigen dat uw configuratie correct werkt.

Bepaalde showopdrachten worden ondersteund door de Output Interpreter Tool (alleen geregistreerde klanten), waarmee u een analyse van de show opdrachtoutput kunt bekijken.

De opdracht IP NAT-vertalingen tonen kan worden gebruikt om de vertaalvermeldingen te controleren, zoals in deze uitvoer wordt getoond:

NAT-Router#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                172.31.16.10       172.16.88.1
icmp 172.31.1.1:0      172.31.1.1:0       172.31.16.10:0     172.16.88.1:0
NAT-Router#

De output toont aan dat het buiten Globale adres 172.16.88.1, dat het adres op interface Loopback0 van router R1 is, wordt vertaald aan het Buiten Lokale adres 172.31.16.10.

U kunt het showip routebevel gebruiken om de routeringangen van de tabel te controleren, zoals getoond:

NAT-Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is not set

      172.16.0.0/16 is variably subnetted, 3 subnets, 3 masks
S        172.16.88.0/24 [1/0] via 172.16.191.254
C        172.16.191.252/30 is directly connected, GigabitEthernet0/0
L        172.16.191.253/32 is directly connected, GigabitEthernet0/0
      172.31.0.0/16 is variably subnetted, 4 subnets, 2 masks
S        172.31.1.0/24 [1/0] via 172.31.192.201
S 172.31.16.10/32 [1/0] via 172.16.88.1
C        172.31.192.0/24 is directly connected, GigabitEthernet0/1
L        172.31.192.202/32 is directly connected, GigabitEthernet0/1
NAT-Router#

De output toont een /32 route voor het Buiten Lokale adres 172.31.16.10, die wegens de add-route optie van het ip nationaal bronbevel wordt gecreëerd. Deze route wordt gebruikt voor het routing- en vertaalpakketten die van binnen naar buiten het netwerk worden verzonden.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Deze output is het resultaat van het uitvoeren van het debug ip-pakket en het debug ip Nat-opdrachten op router NAT-router, terwijl u pingt van het routeradres R1 loopback0-interface (172.16.8.1) naar het routeradres R2 loopback0-interfaceadres (172.31.1.1):

!--- The source address in the first packet arriving on the outside interface is first translated.  

*Oct 4 20:26:48.839: NAT: s=172.16.88.1->172.31.16.10, d=172.31.1.1 [0]

!--- The ICMP echo request packet with the translated source address is routed and forwarded on the inside interface. 

*Oct  4 20:26:48.839: IP: s=172.31.16.10 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.839: IP: s=172.31.16.10 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, Common Flow Table(29), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.839: IP: s=172.31.16.10 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, Stateful Inspection(30), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.839: IP: s=172.31.16.10 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, NAT ALG proxy(63), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct 4 20:26:48.839: IP: s=172.31.16.10 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), g=172.31.192.201, len 100, forward
*Oct  4 20:26:48.839: IP: s=172.31.16.10 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, sending full packet 

!--- The ICMP echo reply packet arriving on the inside interface, is first routed based on the destination address. 
 
Oct  4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.31.16.10, len 100, input feature, Common Flow Table(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.31.16.10, len 100, input feature, Stateful Inspection(8), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.31.16.10, len 100, input feature, Virtual Fragment Reassembly(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.31.16.10, len 100, input feature, Virtual Fragment Reassembly After IPSec Decryption(57), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.31.16.10, len 100, input feature, MCI Check(109), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE 

!--- The destination address in the packet is then translated. 
 
*Oct 4 20:26:48.841: NAT: s=172.31.1.1, d=172.31.16.10->172.16.88.1 [0]

!--- The ICMP echo reply packet with the translated destination address is forwarded on the outside interface. 
 
*Oct  4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.16.88.1 (GigabitEthernet0/0), len 100, output feature, Post-routing NAT Outside(26), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.16.88.1 (GigabitEthernet0/0), len 100, output feature, Common Flow Table(29), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.16.88.1 (GigabitEthernet0/0), len 100, output feature, Stateful Inspection(30), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct  4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.16.88.1 (GigabitEthernet0/0), len 100, output feature, NAT ALG proxy(63), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Oct 4 20:26:48.841: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.16.88.1 (GigabitEthernet0/0), g=172.16.191.254, len 100, forward
*Oct  4 20:26:48.843: IP: s=172.31.1.1 (GigabitEthernet0/1), d=172.16.88.1 (GigabitEthernet0/0), len 100, sending full packet 


*Oct  4 20:26:48.845: NAT*: s=172.16.88.1->172.31.16.10, d=172.31.1.1 [1]
*Oct  4 20:26:48.846: NAT*: s=172.31.1.1, d=172.31.16.10->172.16.88.1 [1]
*Oct  4 20:26:48.848: NAT*: s=172.16.88.1->172.31.16.10, d=172.31.1.1 [2]
*Oct  4 20:26:48.849: NAT*: s=172.31.1.1, d=172.31.16.10->172.16.88.1 [2]
*Oct  4 20:26:48.851: NAT*: s=172.16.88.1->172.31.16.10, d=172.31.1.1 [3]
*Oct  4 20:26:48.852: NAT*: s=172.31.1.1, d=172.31.16.10->172.16.88.1 [3]
*Oct  4 20:26:48.854: NAT*: s=172.16.88.1->172.31.16.10, d=172.31.1.1 [4]
*Oct  4 20:26:48.855: NAT*: s=172.31.1.1, d=172.31.16.10->172.16.88.1 [4]

De vorige procedure wordt herhaald voor elk pakket dat op de buiteninterface wordt ontvangen.

Samenvatting

Het belangrijkste verschil tussen het gebruik van de opdracht IP NAT-bronlijst (dynamische NAT) in plaats van de statische opdracht IP NAT-externe bron (statische NAT) is dat er geen items in de vertaaltabel staan totdat de router (geconfigureerd voor NAT) de vertaalcriteria van het pakket verifieert. In het vorige voorbeeld, voldoet het pakket met SA 172.16.8.1 (dat in de buiteninterface van NAT-router komt) toegang-lijst 1, de criteria die door het ip NAT bevel van de buitenbronlijst worden gebruikt. Om deze reden, moeten de pakketten uit het buitennetwerk voortkomen alvorens de pakketten van het binnennetwerk met Router R1 kunnen communiceren loopback0 interface.

Er zijn twee belangrijke dingen om in dit voorbeeld op te merken:

1. Wanneer het pakket van buiten naar binnen reist, komt de vertaling eerst voor, en dan wordt de routeringstabel gecontroleerd voor de bestemming. Wanneer het pakket van binnen naar buiten reist, wordt de routeringstabel eerst gecontroleerd op de bestemming, en dan komt de vertaling voor.

2. Het is belangrijk om te weten welk deel van het IP-pakket wordt vertaald bij gebruik van de vorige opdrachten. De volgende tabel bevat een richtsnoer:

Opdracht	Actie
IP NAT-bronlijst buiten	vertaalt de bron van de IP-pakketten die zich van buitenaf naar binnen verplaatsen vertaalt de bestemming van de IP-pakketten die binnen naar buiten reizen
IP NAT binnen bronlijst	vertaalt de bron van IP pakketten die binnen aan buitenkant reizen vertaalt de bestemming van de IP-pakketten die naar binnen reizen

Wat deze richtlijnen aangeven is dat er meer dan één manier is om een pakket te vertalen. Afhankelijk van uw specifieke behoeften, kunt u bepalen hoe de NAT-interfaces (binnen of buiten) moeten worden gedefinieerd en welke routes de routeringstabel vóór of na de vertaling bevat. Houd in mening dat het gedeelte van het pakket dat wordt vertaald van de richting afhangt het pakket reist, en hoe u NAT vormde.