Statische opdracht IP NAT buiten-bron configureren

Downloadopties

PDF (346.2 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (154.7 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (108.9 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:20 september 2024

Document-id:218383

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Achtergrondinformatie

Configureren

Netwerkdiagram

Configuraties

Verificatie

Probleemoplossing

Samenvatting

Gerelateerde informatie

Inleiding

Dit document beschrijft een configuratie die de statische opdracht van de ip NAT-buitenbron gebruikt en de IP-pakketten afkomstig zijn van het NAT-proces.

Voorwaarden

Vereisten

Cisco raadt u aan bekend te zijn met dit onderwerp:

Lokale en wereldwijde NAT-bepalingen gebruiken

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco Routers waarop Cisco IOS®-softwarerelease wordt uitgevoerd.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Dit document biedt een voorbeeldconfiguratie met het gebruik van de statische opdracht van de ip NAT-externe bron en bevat een korte beschrijving van wat er tijdens het NAT-proces met het IP-pakket gebeurt. Beschouw de netwerktopologie in dit document als een voorbeeld.

Configureren

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd.

Network Diagram Netwerkdiagram

Wanneer u een ping-bron uitgeeft die afkomstig is van de Loopback1-interface van router R1 die bestemd is voor de Loopback0-interface van router R2, gebeurt dit:

Op de buiteninterface (Gi0/0) van de NAT-router wordt het ping-pakket weergegeven met een bronadres (SA) van 172.16.89.32 en een doeladres (DA) van 172.31.1.1.
NAT vertaalt de SA naar het Outside Local Address 172.31.16.5 (overeenkomend met de statische opdracht van IP-nat-buitenbron die op de NAT-router is geconfigureerd).
De NAT-router controleert vervolgens de routertabel op een route naar 172.31.1.1.
- Als de route niet bestaat, laat vallen de NAT-router het pakket. In dit geval heeft de NAT-router echter een route naar 172.31.1.1 via de geconfigureerde statische route naar subnetnummer 172.31.1.0/24. Het door:sturen het pakket aan de bestemming.
De router R2 ontvangt het pakket op zijn inkomende interface (Gi0/0), nu met een SPA van 172.31.16.5 en een DA van 172.31.1.1.
Om te reageren, verstuurt R2 een ICMP-echoantwoord (Internet Control Message Protocol) naar 172.31.16.5 (het NATted-adres).
- Als R2 geen route heeft, laat het het pakket vallen. In dit geval is er echter een standaardroute naar de NAT-router.
- Daarom stuurt het een antwoordpakket naar de NAT-router, met een SA van 172.31.1.1 en een DA van 172.31.16.5.
De NAT-router ziet het pakket en controleert een route naar het 172.31.16.5-adres.
- Als het geen heeft, antwoordt het met een onbereikbaar antwoord ICMP.
- In dit geval, heeft het een statische route die aan 172.31.16.0/24 wordt gevormd subnetto die aan R1 richten.
- Het vertaalt het pakket terug naar het 172.16.89.32 adres en door:sturen het uit zijn buiteninterface (Gi0/0).

Configuraties

Dit document gebruikt de volgende configuraties:

Router R1

Router R1
hostname R1 ! !--- Output suppressed. `! interface Loopback1 ip address 172.16.89.32 255.255.255.0 ! interface GigabitEthernet0/0 ip address 172.16.191.254 255.255.255.252 duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown !` !--- Output suppressed. ip route 0.0.0.0 0.0.0.0 172.16.191.253 !--- Default route to forward packets to NAT-Router. !--- Output suppressed.

hostname R1
!

!--- Output suppressed.

!
interface Loopback1
 ip address 172.16.89.32 255.255.255.0
!
interface GigabitEthernet0/0
 ip address 172.16.191.254 255.255.255.252
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 no ip address
 shutdown
!  
!--- Output suppressed.  

ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to NAT-Router.  
!--- Output suppressed.

Router NAT-router

Router NAT-router
hostname NAT-Router ! !--- Output suppressed. ! interface GigabitEthernet0/0 ip address 172.16.191.253 255.255.255.252 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 ip address 172.31.192.202 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! !--- ip nat command defines GigabitEthernet0/1 as a NAT inside interface and GigabitEthernet0/0 as a NAT outside interface. !--- Output suppressed. ! no ip http server no ip http secure-server ip nat outside source static 172.16.89.32 172.31.16.5 ip route 172.31.1.0 255.255.255.0 172.31.192.201 ip route 172.31.16.0 255.255.255.0 172.16.191.254 ! !--- Outside local address is defined as 172.31.16.5. !--- Static routes for reaching the loopback interfaces on R2 and subnet 172.31.16.0 towards R1.

hostname NAT-Router
!

!--- Output suppressed.

!
interface GigabitEthernet0/0
 ip address 172.16.191.253 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 172.31.192.202 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
! 

!--- ip nat command defines GigabitEthernet0/1 as a NAT inside interface and GigabitEthernet0/0 as a NAT outside interface. 

!--- Output suppressed.  

!
no ip http server
no ip http secure-server
ip nat outside source static 172.16.89.32 172.31.16.5
ip route 172.31.1.0 255.255.255.0 172.31.192.201
ip route 172.31.16.0 255.255.255.0 172.16.191.254
! 

!--- Outside local address is defined as 172.31.16.5.
!--- Static routes for reaching the loopback interfaces on R2 and subnet 172.31.16.0 towards R1.

Opmerking: In dit specifieke scenario is geen statische route nodig die naar Loopback1 op R1 wijst. Dit is omdat wanneer het ICMP-antwoord de NAT-router invoert, de routeringstabel eerst op de bestemming wordt gecontroleerd en vervolgens de adresomzetting wordt uitgevoerd.

Router R2

Router R2
hostname R2 ! !--- Output suppressed. `! interface Loopback0 ip address 172.31.1.1 255.255.255.0 ! interface GigabitEthernet0/0 ip address 172.31.192.201 255.255.255.0 duplex auto speed auto !` !--- Output suppressed. ip route 0.0.0.0 0.0.0.0 172.31.192.202 !--- Default route to forward packets to NAT-Router. !--- Output suppressed.

hostname R2
!

!--- Output suppressed.

!
interface Loopback0
 ip address 172.31.1.1 255.255.255.0
!
interface GigabitEthernet0/0
 ip address 172.31.192.201 255.255.255.0
 duplex auto
 speed auto
!           

!--- Output suppressed.  

ip route 0.0.0.0 0.0.0.0 172.31.192.202 

!--- Default route to forward packets to NAT-Router. 
!--- Output suppressed.

Verificatie

Gebruik de opdracht show ip nat translations om de vertaalvermeldingen te controleren, zoals deze output toont:

NAT-Router#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                172.31.16.5        172.16.89.32
icmp 172.31.1.1:21     172.31.1.1:21      172.31.16.5:21     172.16.89.32:21
NAT-Router#

Probleemoplossing

In dit voorbeeld worden NAT-vertaaldebugging en IP-pakketdebugging gebruikt om het NAT-proces aan te tonen.

Waarschuwing: omdat de debug-opdrachten een aanzienlijke hoeveelheid uitvoer genereren, gebruikt u deze alleen wanneer het verkeer op het IP-netwerk laag is, zodat andere activiteit op het systeem niet nadelig wordt beïnvloed.

Opmerking: deze debug-uitgangen zijn afkomstig van routers waarop Cisco IOS-software draait. De verzameling van deze debug uitgangen kan variëren op basis van het gebruikte platform.

Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.

Deze output is het resultaat van het gebruik van het debug ip-pakket en debug ip Nat-opdrachten tegelijkertijd op de NAT-router, terwijl u pingt van R1 loopback1-interfaceadres (172.16.89.32) naar R2 loopback0-interfaceadres (172.31.1.1).

Deze output toont het eerste pakket dat op de buiteninterface van NAT-router aankomt. Het bronadres van 172.16.89.32 wordt vertaald naar 172.31.16.5. Het ICMP-pakket wordt naar de bestemming doorgestuurd via de Gigabit Ethernet0/1-interface.

*Sep 19 15:34:39.925: NAT: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [100]
*Sep 19 15:34:39.925: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.926: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, Common Flow Table(29), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.926: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, Stateful Inspection(30), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.927: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, NAT ALG proxy(63), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.927: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), g=172.31.192.201, len 100, forward
*Sep 19 15:34:39.928: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, sending full packet

Deze uitvoer toont het retourpakket afkomstig van 172.31.1.1 met een doeladres van 172.31.16.5, dat wordt vertaald naar 172.16.89.32. Het resulterende ICMP-pakket wordt doorgestuurd naar de Gigabit Ethernet0/0-interface (NAT-router).

*Sep 19 15:34:39.930: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [100]
*Sep 19 15:34:39.930: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [100]

De uitwisseling van ICMP-pakketten gaat verder. Het NAT-proces voor deze debug-uitvoer is hetzelfde als de vorige uitvoer.

*Sep 19 15:34:39.932: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [101]
*Sep 19 15:34:39.932: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [101]
*Sep 19 15:34:39.933: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [101]
*Sep 19 15:34:39.933: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [101]
*Sep 19 15:34:39.935: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [102]
*Sep 19 15:34:39.935: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [102]
*Sep 19 15:34:39.936: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [102]
*Sep 19 15:34:39.936: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [102]
*Sep 19 15:34:39.938: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [103]
*Sep 19 15:34:39.938: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [103]
*Sep 19 15:34:39.939: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [103]
*Sep 19 15:34:39.939: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [103]
*Sep 19 15:34:39.940: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [104]
*Sep 19 15:34:39.940: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [104]
*Sep 19 15:34:39.942: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [104]
*Sep 19 15:34:39.942: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [104]

Samenvatting

Wanneer het pakket van buiten naar binnen reist, komt de vertaling eerst voor, en dan wordt de routeringstabel gecontroleerd voor de bestemming.

Wanneer het pakket van binnen naar buiten reist, wordt de routeringstabel eerst gecontroleerd op de bestemming, en dan vindt de vertaling plaats.

Raadpleeg de NAT-werkorder voor meer informatie.

Let op het deel van het IP-pakket dat wordt vertaald als u het met de vorige opdrachten gebruikt. Deze tabel bevat de richtlijn:

Opdracht	Actie
statische IP-nat buiten-bron	Vertaalt de bron van de IP pakketten die naar binnen van buiten reizen. Vertaalt de bestemming van de IP pakketten die binnen naar buiten reizen.
statische IP-NAT-binnenbron	Vertaalt de bron van IP pakketten die binnen naar buiten reizen. Vertaalt de bestemming van de IP pakketten die naar binnen reizen.

Deze richtlijnen geven aan dat er meer dan één manier is om een pakket te vertalen. Gebaseerd op uw specifieke behoeften, bepaal hoe u de NAT-interfaces (binnen of buiten) moet definiëren en welke routes de routeringstabel vóór of na de vertaling bevat. Houd in mening dat het gedeelte van het pakket dat wordt vertaald van de richting afhangt het pakket reist, en hoe u NAT vormt.

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
2.0	20-Sep-2024	Bijgewerkte IP-adressering
1.0	04-Nov-2022	Eerste vrijgave

Bijgedragen door Cisco-engineers

Marin Grabovschi
Cisco Technical Consulting Engineer

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)