Inleiding
Dit document beschrijft een configuratie die de statische opdracht van de ip NAT-buitenbron gebruikt en de IP-pakketten afkomstig zijn van het NAT-proces.
Voorwaarden
Vereisten
Cisco raadt u aan bekend te zijn met dit onderwerp:
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco Routers waarop Cisco IOS®-softwarerelease wordt uitgevoerd.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit document biedt een voorbeeldconfiguratie met het gebruik van de statische opdracht van de ip NAT-externe bron en bevat een korte beschrijving van wat er tijdens het NAT-proces met het IP-pakket gebeurt. Beschouw de netwerktopologie in dit document als een voorbeeld.
Configureren
Netwerkdiagram
Het netwerk in dit document is als volgt opgebouwd.
Netwerkdiagram
Wanneer u een ping-bron uitgeeft die afkomstig is van de Loopback1-interface van router R1 die bestemd is voor de Loopback0-interface van router R2, gebeurt dit:
- Op de buiteninterface (Gi0/0) van de NAT-router wordt het ping-pakket weergegeven met een bronadres (SA) van 172.16.89.32 en een doeladres (DA) van 172.31.1.1.
- NAT vertaalt de SA naar het Outside Local Address 172.31.16.5 (overeenkomend met de statische opdracht van IP-nat-buitenbron die op de NAT-router is geconfigureerd).
- De NAT-router controleert vervolgens de routertabel op een route naar 172.31.1.1.
- Als de route niet bestaat, laat vallen de NAT-router het pakket. In dit geval heeft de NAT-router echter een route naar 172.31.1.1 via de geconfigureerde statische route naar subnetnummer 172.31.1.0/24. Het door:sturen het pakket aan de bestemming.
- De router R2 ontvangt het pakket op zijn inkomende interface (Gi0/0), nu met een SPA van 172.31.16.5 en een DA van 172.31.1.1.
- Om te reageren, verstuurt R2 een ICMP-echoantwoord (Internet Control Message Protocol) naar 172.31.16.5 (het NATted-adres).
- Als R2 geen route heeft, laat het het pakket vallen. In dit geval is er echter een standaardroute naar de NAT-router.
- Daarom stuurt het een antwoordpakket naar de NAT-router, met een SA van 172.31.1.1 en een DA van 172.31.16.5.
- De NAT-router ziet het pakket en controleert een route naar het 172.31.16.5-adres.
- Als het geen heeft, antwoordt het met een onbereikbaar antwoord ICMP.
- In dit geval, heeft het een statische route die aan 172.31.16.0/24 wordt gevormd subnetto die aan R1 richten.
- Het vertaalt het pakket terug naar het 172.16.89.32 adres en door:sturen het uit zijn buiteninterface (Gi0/0).
Configuraties
Dit document gebruikt de volgende configuraties:
Router R1 |
hostname R1
!
!--- Output suppressed.
!
interface Loopback1
ip address 172.16.89.32 255.255.255.0
!
interface GigabitEthernet0/0
ip address 172.16.191.254 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
shutdown
! !--- Output suppressed.
ip route 0.0.0.0 0.0.0.0 172.16.191.253
!--- Default route to forward packets to NAT-Router. !--- Output suppressed. |
Router NAT-router |
hostname NAT-Router
!
!--- Output suppressed.
!
interface GigabitEthernet0/0
ip address 172.16.191.253 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 172.31.192.202 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
!--- ip nat command defines GigabitEthernet0/1 as a NAT inside interface and GigabitEthernet0/0 as a NAT outside interface.
!--- Output suppressed.
!
no ip http server
no ip http secure-server
ip nat outside source static 172.16.89.32 172.31.16.5
ip route 172.31.1.0 255.255.255.0 172.31.192.201
ip route 172.31.16.0 255.255.255.0 172.16.191.254
!
!--- Outside local address is defined as 172.31.16.5.
!--- Static routes for reaching the loopback interfaces on R2 and subnet 172.31.16.0 towards R1. |
Opmerking: In dit specifieke scenario is geen statische route nodig die naar Loopback1 op R1 wijst. Dit is omdat wanneer het ICMP-antwoord de NAT-router invoert, de routeringstabel eerst op de bestemming wordt gecontroleerd en vervolgens de adresomzetting wordt uitgevoerd.
Router R2 |
hostname R2
!
!--- Output suppressed.
!
interface Loopback0
ip address 172.31.1.1 255.255.255.0
!
interface GigabitEthernet0/0
ip address 172.31.192.201 255.255.255.0
duplex auto
speed auto
!
!--- Output suppressed.
ip route 0.0.0.0 0.0.0.0 172.31.192.202
!--- Default route to forward packets to NAT-Router. !--- Output suppressed. |
Verificatie
Gebruik de opdracht show ip nat translations om de vertaalvermeldingen te controleren, zoals deze output toont:
NAT-Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- --- --- 172.31.16.5 172.16.89.32
icmp 172.31.1.1:21 172.31.1.1:21 172.31.16.5:21 172.16.89.32:21
NAT-Router#
Probleemoplossing
In dit voorbeeld worden NAT-vertaaldebugging en IP-pakketdebugging gebruikt om het NAT-proces aan te tonen.
Waarschuwing: omdat de debug-opdrachten een aanzienlijke hoeveelheid uitvoer genereren, gebruikt u deze alleen wanneer het verkeer op het IP-netwerk laag is, zodat andere activiteit op het systeem niet nadelig wordt beïnvloed.
Opmerking: deze debug-uitgangen zijn afkomstig van routers waarop Cisco IOS-software draait. De verzameling van deze debug uitgangen kan variëren op basis van het gebruikte platform.
Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.
Deze output is het resultaat van het gebruik van het debug ip-pakket en debug ip Nat-opdrachten tegelijkertijd op de NAT-router, terwijl u pingt van R1 loopback1-interfaceadres (172.16.89.32) naar R2 loopback0-interfaceadres (172.31.1.1).
Deze output toont het eerste pakket dat op de buiteninterface van NAT-router aankomt. Het bronadres van 172.16.89.32 wordt vertaald naar 172.31.16.5. Het ICMP-pakket wordt naar de bestemming doorgestuurd via de Gigabit Ethernet0/1-interface.
*Sep 19 15:34:39.925: NAT: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [100]
*Sep 19 15:34:39.925: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.926: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, Common Flow Table(29), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.926: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, Stateful Inspection(30), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.927: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, output feature, NAT ALG proxy(63), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Sep 19 15:34:39.927: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), g=172.31.192.201, len 100, forward
*Sep 19 15:34:39.928: IP: s=172.31.16.5 (GigabitEthernet0/0), d=172.31.1.1 (GigabitEthernet0/1), len 100, sending full packet
Deze uitvoer toont het retourpakket afkomstig van 172.31.1.1 met een doeladres van 172.31.16.5, dat wordt vertaald naar 172.16.89.32. Het resulterende ICMP-pakket wordt doorgestuurd naar de Gigabit Ethernet0/0-interface (NAT-router).
*Sep 19 15:34:39.930: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [100]
*Sep 19 15:34:39.930: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [100]
De uitwisseling van ICMP-pakketten gaat verder. Het NAT-proces voor deze debug-uitvoer is hetzelfde als de vorige uitvoer.
*Sep 19 15:34:39.932: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [101]
*Sep 19 15:34:39.932: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [101]
*Sep 19 15:34:39.933: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [101]
*Sep 19 15:34:39.933: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [101]
*Sep 19 15:34:39.935: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [102]
*Sep 19 15:34:39.935: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [102]
*Sep 19 15:34:39.936: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [102]
*Sep 19 15:34:39.936: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [102]
*Sep 19 15:34:39.938: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [103]
*Sep 19 15:34:39.938: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [103]
*Sep 19 15:34:39.939: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [103]
*Sep 19 15:34:39.939: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [103]
*Sep 19 15:34:39.940: NAT*: o: icmp (172.16.89.32, 20) -> (172.31.1.1, 20) [104]
*Sep 19 15:34:39.940: NAT*: s=172.16.89.32->172.31.16.5, d=172.31.1.1 [104]
*Sep 19 15:34:39.942: NAT*: i: icmp (172.31.1.1, 20) -> (172.31.16.5, 20) [104]
*Sep 19 15:34:39.942: NAT*: s=172.31.1.1, d=172.31.16.5->172.16.89.32 [104]
Samenvatting
Wanneer het pakket van buiten naar binnen reist, komt de vertaling eerst voor, en dan wordt de routeringstabel gecontroleerd voor de bestemming.
Wanneer het pakket van binnen naar buiten reist, wordt de routeringstabel eerst gecontroleerd op de bestemming, en dan vindt de vertaling plaats.
Raadpleeg de NAT-werkorder voor meer informatie.
Let op het deel van het IP-pakket dat wordt vertaald als u het met de vorige opdrachten gebruikt. Deze tabel bevat de richtlijn:
Opdracht |
Actie |
statische IP-nat buiten-bron |
- Vertaalt de bron van de IP pakketten die naar binnen van buiten reizen.
- Vertaalt de bestemming van de IP pakketten die binnen naar buiten reizen.
|
statische IP-NAT-binnenbron |
- Vertaalt de bron van IP pakketten die binnen naar buiten reizen.
- Vertaalt de bestemming van de IP pakketten die naar binnen reizen.
|
Deze richtlijnen geven aan dat er meer dan één manier is om een pakket te vertalen. Gebaseerd op uw specifieke behoeften, bepaal hoe u de NAT-interfaces (binnen of buiten) moet definiëren en welke routes de routeringstabel vóór of na de vertaling bevat. Houd in mening dat het gedeelte van het pakket dat wordt vertaald van de richting afhangt het pakket reist, en hoe u NAT vormt.
Gerelateerde informatie