Statische en dynamische NAT tegelijkertijd configureren

Downloadopties

PDF (187.7 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (102.0 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (129.5 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:21 november 2014

Document-id:13778

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

NAT configureren

Gerelateerde informatie

Gerelateerde Cisco Support Community-discussies

Inleiding

In bepaalde situaties kunt u het nodig vinden om zowel de statische als de dynamische opdrachten van de Netwerkadresomzetting (NAT) op een Cisco-router te configureren. Dit document legt uit hoe u dit kunt doen en geeft een voorbeeldscenario.

Voorwaarden

Vereisten

Kennis van fundamentele NAT-concepten en -operaties is behulpzaam.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco 3600 Series routers
Cisco IOS-softwarerelease 12.3(3)S

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

NAT configureren

Met dynamisch NAT zijn er geen vertalingen in de NAT-tabel totdat de router verkeer ontvangt dat vertaling nodig heeft. Dynamische vertalingen hebben een tijdslimiet waarna ze uit de vertaaltabel worden weggehaald.

Met statische NAT-omzetting bestaan vertalingen in de NAT-vertaaltabel zodra u de statische NAT-opdracht(en) configureren en ze blijven in de vertaaltabel totdat u de statische NAT-opdracht(en) verwijdert.

Het volgende netwerkdiagram is een voorbeeld:

Deze opdrachten worden ingesteld op de hierboven weergegeven NAT-router:

NAT router
version 12.3 ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0 !--- Refer to ip nat pool* for more details on the command.* . ip nat inside source list 7 pool test !--- Refer to ip nat inside source* for more details on the command.* ip nat inside source static 10.10.10.1 172.16.131.1 interface e 0 ip address 10.10.10.254 255.255.255.0 ip nat inside interface s 0 ip address 172.16.130.2 255.255.255.0 ip nat outside ip route 192.168.1.0 255.255.255.0 172.16.130.1 access-list 7 permit 10.10.10.0 0.0.0.255

NAT router

version 12.3

ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0
 

 !--- Refer to  ip nat pool  for more details on the command.
.

ip nat inside source list 7 pool test  


!--- Refer to  ip nat inside source  for more details on the command.


ip nat inside source static 10.10.10.1 172.16.131.1

 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside

 interface s 0

 ip address 172.16.130.2 255.255.255.0

 ip nat outside

ip route 192.168.1.0 255.255.255.0 172.16.130.1

 access-list 7 permit 10.10.10.0 0.0.0.255

De configuratie op het apparaat OutsideA is:

BuitenA router
version 12.3 hostname outsideA ! ! ! interface Serial1/0 ip address 172.16.130.1 255.255.255.0 serial restart-delay 0 clockrate 64000 ! interface FastEthernet2/0 ip address 192.168.1.1 255.255.255.0 speed auto half-duplex ip route 172.16.131.0 255.255.255.0 172.16.130.2

BuitenA router

version 12.3
hostname outsideA

!
!
!
interface Serial1/0

ip address 172.16.130.1 255.255.255.0

serial restart-delay 0

clockrate 64000

!

interface FastEthernet2/0

ip address 192.168.1.1 255.255.255.0

speed auto

half-duplex

ip route 172.16.131.0 255.255.255.0 172.16.130.2

De configuratie op het InsideA-apparaat is:

InA router
version 12.3 ! interface Ethernet1/0 ip address 10.10.10.1 255.255.255.0 half-duplex ! ip route 0.0.0.0 0.0.0.0 10.10.10.254 ! !

Met de opdracht toonaangevende ip nat vertalingen kunt u de inhoud van de vertaaltabel zien:

NATrouter#show ip nat translations
Pro Inside global    Inside local    Outside local    Outside global
--- 172.16.131.1     10.10.10.1      ---              ---

Merk op dat alleen de statische vertaling in de vertaaltabel is opgenomen. Dit artikel vertaalt het globale adres van binnen terug naar het lokale adres, wat betekent dat de apparaten op de buitenwolk pakketten naar het mondiale adres 172.16.131.1 kunnen verzenden en het apparaat op de binnenwolk bereiken, dat het lokale adres 10.10.10.1 heeft.

Hetzelfde wordt hierna weergegeven:

outsideA#ping 172.16.131.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.131.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

 

NATrouter#debug ip nat 

18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1005]
18:12:06: NAT: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1005]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1006]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1006]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1007]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1007]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1008]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1008]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1009]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1009]

Er worden geen andere vertalingen gegenereerd of ingevoerd in de vertaaltabel totdat de router een pakket op zijn interne interface ontvangt met een bronadres dat is toegestaan door toegangscontrolelijst (ACL) 7.

Aangezien er echter nog geen dynamische vertalingen zijn ingevoerd, kunnen externe apparatuur geen van de binnenvoorzieningen (anders dan 10.10.10.10) bereiken, zelfs niet indien zij pakketten naar een algemeen adres sturen (172.16.131.2 tot en met 172.16.131.10). Wanneer de router een pakket ontvangt dat voor een van deze mondiale adressen bestemd is, controleert het de vertaaltabel voor een bestaande vertaling. Als er geen is, probeert het de pakketroute te leiden. Dit NAT-gedrag wordt in de voorbeeldconfiguratie verder besproken met behulp van de ip nucleaire opdracht en voorbeeldconfiguratie met behulp van de ip nucleaire statische opdracht van buiten bron.

In de bovenstaande topologie, indien communicatie tussen binnen- en buitennetwerkapparaten alleen afkomstig is van de binnenapparatuur, werkt dynamische vertaling prima. Maar wat als een e-mailserver op het binnennetwerk wordt toegevoegd die pakketten moet ontvangen die door de buitenkant zijn voortgebracht? U moet nu een statische NAT-ingang configureren zodat e-mailservers aan de buitenkant een communicatie met de e-mailserver aan de binnenkant kunnen maken. Als in het voorbeeld boven de e-mailserver het apparaat is met het lokale adres van 10.10.10.1, hebt u al een statische vertaling.

In gevallen echter waarin u niet veel globale adressen over hebt om te sparen en u op een statische manier één apparaat voor NAT moet configureren kunt u een configuratie gebruiken zoals de volgende:

NAT router
ip nat inside source list 7 interface serial 0 overload ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25 !--- Refer to ip nat inside source* for more details on the command.* interface e 0 ip address 10.10.10.254 255.255.255.0 ip nat inside !--- For more details the ip nat inside\|outside* command, !--- please refer to ip nat inside .* interface s 0 ip address 172.16.130.2 255.255.255.0 ip nat outside access-list 7 permit 10.10.10.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 172.16.130.1

NAT router

ip nat inside source list 7 interface serial 0 overload


ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25

!--- Refer to  ip nat inside source  for more details on the command.


 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside 

!--- For more details the ip nat inside|outside command, !--- please refer to  ip nat inside .


 interface s 0

ip address 172.16.130.2 255.255.255.0

ip nat outside 

 access-list 7 permit 10.10.10.0 0.0.0.255

 ip route 0.0.0.0 0.0.0.0 172.16.130.1

In het bovenstaande voorbeeld wordt NAT ingesteld op overload op seriële IP-adres van 0. Dit betekent dat meer dan één binnen lokaal adres dynamisch kan worden vertaald naar hetzelfde mondiale adres, in dit geval, het adres toegewezen aan Seriële 0. Daarnaast is NAT statistisch geconfigureerd zodat pakketten afkomstig van lokaal adres 10.10.10.1 met TCP-poort 25 (MTP) worden vertaald naar serieel IP-adres TCP-poort 25 van 0. Aangezien dit een statische NAT-ingang is, kunnen e-servers buiten Begin TCP (poort 25) pakketten aan het globale adres van 172.16.131.254.

Opmerking: Hoewel het mogelijk is om hetzelfde globale adres te gebruiken voor zowel de Dynamische als de Statische NAT, is het waar mogelijk beter om verschillende globale adressen te gebruiken.

De NAT-vertaaltabel bevat de volgende vermelding:

NATRouter#show ip nat translations

   Pro Inside global    Inside local   Outside local Outside global

   tcp 172.16.130.2:25  10.10.10.1:25      ---          ---

De debug ip nat output toont de NAT vertaling wanneer het externeA apparaat binnenA toegang heeft:

04:21:16: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1    [9919]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [0]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9922]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9923]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [1]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [2]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [3]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9927]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [4]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [5]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9931]

   04:21:17: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9934]

   04:21:17: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9935]

   04:21:17: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [6]

Samengevat vereist dynamische NAT dat pakketten door de NAT router worden geschakeld om NAT vertalingen in de vertaaltabel te genereren. Als u de ip nationaal bevel gebruikt, moeten deze pakketten van binnenuit komen. Als u de ip nat buiten opdracht gebruikt, moeten deze pakketten aan de buitenkant zijn begonnen.

De statische NAT vereist geen pakketten om door de router te worden geschakeld, en de vertalingen worden statistisch in de vertaaltabel ingevoerd.

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	21-Nov-2014	Eerste vrijgave

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)