Einleitung
In diesem Dokument wird beschrieben, wie Sie den ip nat outside source list Befehl konfigurieren und was mit dem IP-Paket während des NAT-Prozesses geschieht.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt. Die Informationen in diesem Dokument basieren jedoch auf den folgenden Software- und Hardwareversionen:
-
Router der Cisco 2500 Serie
-
Cisco IOS® Softwareversion 12.2(24a), auf allen Routern ausgeführt
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Mit diesem Befehl können Sie die Quelladresse der IP-Pakete übersetzen, die von außerhalb des Netzwerks in das Netzwerk übertragen werden. Diese Aktion übersetzt die Zieladresse der IP-Pakete, die in die entgegengesetzte Richtung weitergeleitet werden - von innerhalb nach außerhalb des Netzwerks. Dieser Befehl ist in Situationen wie bei überlappenden Netzwerken nützlich, in denen sich die internen Netzwerkadressen mit Adressen außerhalb des Netzwerks überschneiden. Betrachten wir das Netzwerkdiagramm als Beispiel.
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie in den technischen Tipps von Cisco zu Konventionen.
Konfigurieren
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur für registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
Netzwerkdiagramm
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
Wenn ein Ping von der Loopback0-Schnittstelle des Routers 2514W (172.16.88.1) an die Loopback0-Schnittstelle des Routers 2501E (171.68.1.1) gesendet wird, geschieht Folgendes:
Der Router 2514W leitet die Pakete an den Router 2514X weiter, da er mit einer Standardroute konfiguriert ist. An der externen Schnittstelle des Routers 2514X hat das Paket die Quelladresse (SA) 172.16.88.1 und die Zieladresse (DA) 171.68.1.1. Da die SA in Zugriffsliste 1 zulässig ist, die vom ip nat outside source list Befehl verwendet wird, wird sie in eine Adresse aus dem NAT-Pool "Net171" umgewandelt.
Beachten Sie, dass der ip nat outside source list Befehl auf den NAT-Pool "Net171" verweist. In diesem Fall wird die Adresse in 171.68.16.10 umgewandelt. Dies ist die erste verfügbare Adresse im NAT-Pool.
Nach der Übersetzung sucht der Router 2514X in der Routing-Tabelle nach dem Ziel und leitet das Paket weiter. Router 2501E erkennt das Paket an seiner Eingangsschnittstelle mit einem SA von 171.68.16.10 und einem DA von 171.68.1.1. Dieser antwortet, indem er eine ICMP-Echo-Antwort (Internet Control Message Protocol) an 171.68.16.10 sendet. Verfügt er nicht über eine Route, verwirft er das Paket.
In diesem Fall verfügt es über eine (Standard-)Route und sendet daher ein Paket an den Router 2514X, wobei ein SA von 171.68.1.1 und ein DA von 171.68.16.10 verwendet wird. Der Router 2514X erkennt das Paket an seiner internen Schnittstelle und sucht nach einer Route zur Adresse 171.68.16.10. Verfügt er nicht über eine solche, antwortet er mit einer ICMP-Antwort, die nicht erreichbar ist.
ip nat outside source In diesem Fall verfügt es über eine Route zu 171.68.16.10, aufgrund der Add-Route-Option des Befehls, der eine Host-Route auf der Grundlage der Übersetzung zwischen der globalen und lokalen Außenadresse hinzufügt, sodass es das Paket zurück in die 172.16.88.1-Adresse übersetzt und das Paket aus seiner externe Schnittstelle.
Konfigurationen
Router 2514W |
hostname 2514W
!
!--- Output suppressed.
interface Loopback0
ip address 172.16.88.1 255.255.255.0
!
!--- Output suppressed.
interface Serial0
ip address 172.16.191.254 255.255.255.252
no ip mroute-cache
!
!--- Output suppressed.
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.191.253
!--- Default route to forward packets to 2514X.
!
!--- Output suppressed.
|
Router 2514X |
hostname 2514X
!
!--- Output suppressed.
!
interface Ethernet1
ip address 171.68.192.202 255.255.255.0
ip nat inside
no ip mroute-cache
no ip route-cache
!
!--- Output suppressed.
interface Serial1
ip address 172.16.191.253 255.255.255.252
ip nat outside
no ip mroute-cache
no ip route-cache
clockrate 2000000
!
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0
!--- NAT pool defining Outside Local addresses to be used for translation.
!
ip nat outside source list 1 pool Net171 add-route
!--- Configures translation for Outside Global addresses !--- with the NAT pool.
ip classless
ip route 172.16.88.0 255.255.255.0 172.16.191.254
ip route 171.68.1.0 255.255.255.0 171.68.192.201
!--- Static routes for reaching the loopback interfaces !--- on 2514W and 2501E.
access-list 1 permit 172.16.88.0 0.0.0.255
!--- Access-list defining Outside Global addresses to be translated.
!
!--- Output suppressed.
! |
Router 2501E |
hostname 2501E
!
!--- Output suppressed.
interface Loopback0
ip address 171.68.1.1 255.255.255.0
!
interface Ethernet0
ip address 171.68.192.201 255.255.255.0
!
!--- Output suppressed.
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.192.202
!--- Default route to forward packets to 2514X.
!
!--- Output suppressed.
|
Überprüfung
In diesem Abschnitt finden Sie Informationen, die Sie verwenden können, um sicherzustellen, dass Ihre Konfiguration ordnungsgemäß funktioniert.
Bestimmte show-Befehle werden vom Output Interpreter Tool unterstützt (nur für registrierte Kunden), mit dem Sie eine Analyse der show Befehlsausgabe anzeigen können.
Der Befehl show ip nat translation kann verwendet werden, um die Übersetzungseinträge zu überprüfen, wie in der folgenden Ausgabe gezeigt:
2514X# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 171.68.1.1 171.68.1.1 171.68.16.10 172.16.88.1
--- --- --- 171.68.16.10 172.16.88.1
2514X#
Die Ausgabe zeigt, dass die globale Adresse für Außenbereiche 172.16.88.1, die die Adresse der Loopback0-Schnittstelle des Routers 2514W ist, in die lokale Außenadresse 171.68.16.10 umgewandelt wird.
Sie können den Befehl show ip route verwenden, um die Einträge in der Routing-Tabelle zu überprüfen, wie dargestellt:
2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 171.68.192.0/24 is directly connected, Ethernet1
S 171.68.1.0/24 [1/0] via 171.68.192.201
S 171.68.16.10/32 [1/0] via 172.16.88.1
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S 172.16.88.0/24 [1/0] via 172.16.191.254
C 172.16.191.252/30 is directly connected, Serial1
2514X#
Die Ausgabe zeigt eine /32-Route für die lokale Außenadresse 171.68.16.10 an, die aufgrund der Add-Route-Option des ip nat outside source Befehls erstellt wird. Diese Route wird zum Routing und zur Übersetzung von Paketen verwendet, die von innen nach außen im Netzwerk übertragen werden.
Fehlerbehebung
In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.
debug ip nat Diese Ausgabe ist das Ergebnis der Ausführung des Debug-IP-Pakets und der Befehle auf dem Router 2514X, während ein Ping von der Loopback0-Schnittstellenadresse des Routers 2514W (172.16.88.1) an die Loopback0-Schnittstellenadresse des Routers 2501E (171.68.1.1.1.1) gesendet wird. ):
*Mar 1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95]
!--- The source address in the first packet arriving on !--- the outside interface is first translated.
*Mar 1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via
RIB
*Mar 1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len
100, forward
!--- The ICMP echo request packet with the translated source address !--- is routed and forwarded on the inside interface.
*Mar 1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via
RIB
!--- The ICMP echo reply packet arriving on the inside interface !--- is first routed based on the destination address.
*Mar 1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95]
!--- The destination address in the packet is then translated.
*Mar 1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1
00, forward
!--- The ICMP echo reply packet with the translated destination !--- address is forwarded on the outside interface.
Das vorherige Verfahren wird für jedes an der externen Schnittstelle empfangene Paket wiederholt.
Zusammenfassung
Der Hauptunterschied zwischen der Verwendung des ip nat outside source listBefehls (dynamische NAT) und des ip nat outside source static Befehls (statische NAT) besteht darin, dass in der Übersetzungstabelle keine Einträge vorhanden sind, bis der (für NAT konfigurierte) Router die Übersetzungskriterien des Pakets überprüft. Im vorherigen Beispiel erfüllt das Paket mit dem SA 172.16.88.1 (der in die externe Schnittstelle des Routers 2514X gelangt) die Zugriffsliste 1, die vom ip nat outside source list Befehl verwendet wird. Aus diesem Grund müssen die Pakete vom externen Netzwerk stammen, bevor die Pakete aus dem internen Netzwerk mit der Loopback0-Schnittstelle des Routers 2514W kommunizieren können.
In diesem Beispiel sind zwei wichtige Punkte zu beachten.
Wenn das Paket von außen nach innen übertragen wird, erfolgt zunächst die Übersetzung, und anschließend wird die Routing-Tabelle auf das Ziel überprüft. Wenn das Paket von innen nach außen übertragen wird, wird zuerst die Routing-Tabelle auf das Ziel überprüft, und anschließend wird die Übersetzung durchgeführt.
Zweitens ist es wichtig zu beachten, welcher Teil des IP-Pakets übersetzt wird, wenn die vorherigen Befehle verwendet werden. Die folgende Tabelle enthält einen Leitfaden:
Command |
Aktion |
ip nat außerhalb der Quellliste |
- Übersetzt die Quelle von IP-Paketen, die von außen nach innen übertragen werden
- Übersetzt das Ziel von IP-Paketen, die von innen nach außen übertragen werden
|
ip nat in der Quellliste |
- Übersetzt die Quelle von IP-Paketen, die von innen nach außen übertragen werden
- Übersetzt das Ziel von IP-Paketen, die von außen nach innen übertragen werden
|
Diese Richtlinien weisen darauf hin, dass es mehr als eine Möglichkeit gibt, ein Paket zu übersetzen. Abhängig von Ihren spezifischen Anforderungen können Sie bestimmen, wie die NAT-Schnittstellen (innen oder außen) definiert werden und welche Routen die Routing-Tabelle vor oder nach der Übersetzung enthält. Beachten Sie, dass der Teil des Pakets, der umgewandelt wird, von der Richtung, in die sich das Paket bewegt, und von der Konfiguration der NAT abhängt.
Zugehörige Informationen