NAT in Catalyst 6500/6000 Switches Configuratievoorbeeld

Inleiding

Dit document legt uit hoe u netwerkadresomzetting (NAT) kunt configureren op Cisco Catalyst 6500/6000 Series Switches.

Voorwaarden

Vereisten

Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:

• Bekendheid met hoe NAT werkt.

  Raadpleeg Hoe NAT werkt voor meer informatie.

• Bekendheid met de opdrachten om NAT op een router te configureren.

  Raadpleeg voor meer informatie over de opdrachten Netwerkadresomzetting configureren: Aan de slag.

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco Catalyst 6500 Series Switch met Supervisor Engine 720 met Cisco IOS® softwarerelease 12.2(18)SXD6 en Cisco Catalyst 6500 Series Switch met Supervisor Engine II die CatOS-softwarerelease 8.4(4) draait.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Deze configuratie kan ook worden gebruikt met Cisco Catalyst 6000 Series Switches.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Opmerking: de IP-adresseringsschema's die in deze configuratie worden gebruikt, zijn niet wettelijk routeerbaar op het internet. Het zijn RFC 1918 adressen die in een labomgeving gebruikt zijn.

Cisco IOS-configuraties

In dit configuratievoorbeeld, wordt NAT gevormd om op het interface FastEthernet 4/4 IP adres te overladen. Dit betekent dat meer dan één binnen lokaal adres dynamisch kan worden vertaald naar hetzelfde mondiale adres. In dit geval, het adres toegewezen aan interface FastEthernet 4/4.

Daarnaast is NAT statistisch geconfigureerd zodat pakketten die zijn afkomstig van het lokale adres 10.10.10.2 met TCP poort 25 (TCP) worden vertaald naar interface Fast Ethernet 4/4 IP-adres TCP poort 2525. Aangezien dit een statische NAT-ingang is, kunnen e-mailcliënten aan de buitenkant TCP-pakketten aan het globale adres van 172.16.10.64 voortbrengen. De buitenhaven is gekozen als 2525 om elke Denial of Service-aanvallen te voorkomen.

6509sup720#show running-config 
 Building configuration...
 Current configuration : 7524 bytes
 !
 version 12.2
 service timestamps debug datetime
 service timestamps log datetime msec localtime
 service password-encryption
 service counters max age 10
 !
 hostname 6509sup720
 !
 boot system sup-bootflash:s72033-psv-mz.122-18.SXD6.bin
 !username maui-nas-05 password cisco

 !
no ip domain-lookup
!
no mls flow ip
no mls flow ipv6
spanning-tree mode pvst
!
redundancy
 mode sso
 main-cpu
!
!
interface FastEthernet4/4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines interface FastEthernet 4/4 with an IP address and as a !--- NAT outside interface.

!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 2 with an IP address and as a NAT inside !--- interface.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 3 with an IP address and as a NAT inside !--- interface.

!

ip nat inside source list 100 interface FastEthernet 4/4 overload

!--- Specifies the translation for inside workstations and !--- servers to access the outside world.

ip nat inside source static tcp 10.10.10.2 25 interface FastEthernet 4/4 2525

!--- Specifies the static mapping for the outside email clients !--- to access the inside email server.


!--- Refer to ip nat inside source for more details !--- on the command.

!
!
ip classless
no ip http server
!

!--- ACL 100 permits only the desired traffic for translation.

access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any
!
line con 0
transport input none
line vty 0 4 
!
end

CatOS-configuraties

Voor switches die in Hybride modus lopen moet u eerst de VLAN’s op de supervisor configureren en vervolgens de NAT-configuratie op de MSFC toepassen. In plaats van een buitenpoortinterface te hebben, moet u een interface VLAN configureren aangezien u in Hybride modus geen IP-adressen voor een bepaalde poort kunt instellen.

!--- Configure VLAN 2, VLAN 3 and VLAN 4 on the Supervisor.


!--- Add VLAN 2.

Catalyst6500> (enable) set vlan 2
VLAN 2 configuration successful


!--- Add VLAN 3.

Catalyst6500> (enable) set vlan 3
VLAN 3 configuration successful


!--- Add VLAN 4.

Catalyst6500> (enable) set vlan 4
VLAN 4 configuration successful


!--- Assign port fa4/4 to VLAN 4.

Catalyst6500> (enable) set vlan 4 4/4
VLAN 4 modified.
VLAN 1 modified.
VLAN  Mod/Ports
---- -----------------------
4     4/4
Catalyst6500> (enable)

MSFC#show running-config
Building configuration...

Current configuration : 1024 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot system flash bootflash:c6msfc2-jk2o3sv-mz.121-26.E1.bin
!
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
redundancy
 high-availability
 single-router-mode
!
!         
!
!
!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 2 with an IP address and as a NAT inside !--- interface.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 3 with an IP address and as a NAT inside !--- interface.

!
interface Vlan4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines interface VLAN 4 with an IP address and as a NAT outside !--- interface.

!
ip nat inside source list 100 interface Vlan4 overload

!--- Specifies the translation for inside workstations and !--- servers to access the outside world.

ip nat inside source static tcp 10.10.10.2 25 interface Vlan4 2525

!--- Specifies the static mapping for the outside email clients !--- to access the inside email server.


ip classless
no ip http server
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any

!--- ACL 100 permits only the desired traffic for translation.

!
!
line con 0
line vty 0 4
 no login
!
!
end

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Het Uitvoer Tolk Tool (geregistreerde klanten slechts) (OIT) steunt bepaalde showopdrachten. Gebruik de OIT om een analyse van de uitvoer van het show bevel te bekijken

• toon ip nat vertalingen—hier worden actieve NAT-vertalingen weergegeven.

  Cat6k#show ip nat translations 
  Pro Inside global      Inside local       Outside local      Outside global
  tcp 172.16.10.64:2525  10.10.10.2:25        ---                  ---    

• Toon ip toegang-lijst-Toont de inhoud van alle huidige IP toegangslijsten.

  Cat6k#show ip access-lists 
  Extended IP access list 100
      permit ip 10.10.10.0 0.0.0.255 any (32 matches)
      permit ip 10.10.20.0 0.0.0.255 any (22 matches)
      deny ip any any 

• toon ip nat statistieken—NAT statistieken van displays.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Opdrachten voor troubleshooting

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.

• debug ip nat-informatie over IP-pakketten die door de IP NAT-functie zijn vertaald.

  Cat6k#debug ip nat
  IP NAT debugging is on
  Cat6k#
  *Mar  1 01:40:47.692 CET: NAT: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [80]
  *Mar  1 01:40:47.720 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [80]
  *Mar  1 01:40:47.720 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [81]
  *Mar  1 01:40:47.748 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [81]
  *Mar  1 01:40:47.748 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [82]
  *Mar  1 01:40:47.784 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [82]
  *Mar  1 01:40:47.784 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [83]
  *Mar  1 01:40:47.836 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [83]
  *Mar  1 01:40:47.836 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [84]
  *Mar  1 01:40:47.884 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [84]

• duidelijke ip-nat vertaling *—Vertaling van dynamisch netwerkadres (NAT) wordt uit de vertaaltabel vervangen.

Verwante opdrachten

• ip nat—wijst erop dat verkeer dat afkomstig is van of bestemd is voor de interface onderworpen is aan NAT.

• ip nationaal binnen bestemming-schakelt NAT van het binnen bestemmingsadres in.

• ip nationaal binnen bron-schakelt NAT van het binnen bronadres in.

• ip op externe bron—hiermee kan NAT op het externe bronadres worden ingeschakeld.

Gerelateerde informatie

• Ondersteuningsmatrix voor netwerkadresomzetting van Catalyst-Switch
• NAT-ondersteuningspagina
• Cisco Catalyst 6500 Series Switches
• LAN-productondersteuning
• Ondersteuning voor LAN-switching technologie
• Technische ondersteuning en documentatie – Cisco Systems