Konfigurieren von IP-Netzwerkadresse außerhalb des Quelllistenbefehls

Download-Optionen

  • PDF     (273.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (95.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (110.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. Juli 2024
Dokument-ID:13770

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie den ip nat outside source list Befehl konfigurieren und was mit dem IP-Paket während des NAT-Prozesses geschieht. 

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt. Die Informationen in diesem Dokument basieren jedoch auf den folgenden Software- und Hardwareversionen:

    • Router der Cisco 2500 Serie

    • Cisco IOS® Softwareversion 12.2(24a), auf allen Routern ausgeführt

      •

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Mit diesem Befehl können Sie die Quelladresse der IP-Pakete übersetzen, die von außerhalb des Netzwerks in das Netzwerk übertragen werden. Diese Aktion übersetzt die Zieladresse der IP-Pakete, die in die entgegengesetzte Richtung weitergeleitet werden - von innerhalb nach außerhalb des Netzwerks. Dieser Befehl ist in Situationen wie bei überlappenden Netzwerken nützlich, in denen sich die internen Netzwerkadressen mit Adressen außerhalb des Netzwerks überschneiden. Betrachten wir das Netzwerkdiagramm als Beispiel.

    Konventionen

    Weitere Informationen zu Dokumentkonventionen finden Sie in den technischen Tipps von Cisco zu Konventionen.

    Konfigurieren

    In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

    note-icon

    Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur für registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

    Netzwerkdiagramm

    In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

    Netzwerkdiagramm

    Wenn ein Ping von der Loopback0-Schnittstelle des Routers 2514W (172.16.88.1) an die Loopback0-Schnittstelle des Routers 2501E (171.68.1.1) gesendet wird, geschieht Folgendes:

    Der Router 2514W leitet die Pakete an den Router 2514X weiter, da er mit einer Standardroute konfiguriert ist. An der externen Schnittstelle des Routers 2514X hat das Paket die Quelladresse (SA) 172.16.88.1 und die Zieladresse (DA) 171.68.1.1. Da die SA in Zugriffsliste 1 zulässig ist, die vom ip nat outside source list Befehl verwendet wird, wird sie in eine Adresse aus dem NAT-Pool "Net171" umgewandelt.

    Beachten Sie, dass der ip nat outside source list Befehl auf den NAT-Pool "Net171" verweist. In diesem Fall wird die Adresse in 171.68.16.10 umgewandelt. Dies ist die erste verfügbare Adresse im NAT-Pool.

    Nach der Übersetzung sucht der Router 2514X in der Routing-Tabelle nach dem Ziel und leitet das Paket weiter. Router 2501E erkennt das Paket an seiner Eingangsschnittstelle mit einem SA von 171.68.16.10 und einem DA von 171.68.1.1. Dieser antwortet, indem er eine ICMP-Echo-Antwort (Internet Control Message Protocol) an 171.68.16.10 sendet. Verfügt er nicht über eine Route, verwirft er das Paket.

    In diesem Fall verfügt es über eine (Standard-)Route und sendet daher ein Paket an den Router 2514X, wobei ein SA von 171.68.1.1 und ein DA von 171.68.16.10 verwendet wird. Der Router 2514X erkennt das Paket an seiner internen Schnittstelle und sucht nach einer Route zur Adresse 171.68.16.10. Verfügt er nicht über eine solche, antwortet er mit einer ICMP-Antwort, die nicht erreichbar ist.

    ip nat outside source In diesem Fall verfügt es über eine Route zu 171.68.16.10, aufgrund der Add-Route-Option des Befehls, der eine Host-Route auf der Grundlage der Übersetzung zwischen der globalen und lokalen Außenadresse hinzufügt, sodass es das Paket zurück in die 172.16.88.1-Adresse übersetzt und das Paket aus seiner externe Schnittstelle.

    Konfigurationen

    Router 2514W 
    hostname 2514W 
!

!--- Output suppressed.
 
interface Loopback0 
 ip address 172.16.88.1 255.255.255.0 
!

!--- Output suppressed.
 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
!

!--- Output suppressed.
 
ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to 2514X. 

!

!--- Output suppressed.
    Router 2514X 
    hostname 2514X 
! 

!--- Output suppressed.

! 
interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 
 no ip mroute-cache 
 no ip route-cache 
!

!--- Output suppressed.
 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 ip nat outside 
 no ip mroute-cache 
 no ip route-cache 
 clockrate 2000000 
! 
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 

!--- NAT pool defining Outside Local addresses to be used for translation. 
!
ip nat outside source list 1 pool Net171 add-route

!--- Configures translation for Outside Global addresses !--- with the NAT pool. 

ip classless 
ip route 172.16.88.0 255.255.255.0 172.16.191.254 
ip route 171.68.1.0 255.255.255.0 171.68.192.201

!--- Static routes for reaching the loopback interfaces !--- on 2514W and 2501E.
 

access-list 1 permit 172.16.88.0 0.0.0.255 

!--- Access-list defining Outside Global addresses to be translated. 

!

!--- Output suppressed.

!
    Router 2501E 
    hostname 2501E 
! 

!--- Output suppressed.

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 

!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- Default route to forward packets to 2514X. 

!

!--- Output suppressed.

    Überprüfung

    In diesem Abschnitt finden Sie Informationen, die Sie verwenden können, um sicherzustellen, dass Ihre Konfiguration ordnungsgemäß funktioniert.

    Bestimmte show-Befehle werden vom Output Interpreter Tool unterstützt (nur für registrierte Kunden), mit dem Sie eine Analyse der show Befehlsausgabe anzeigen können.

    Der Befehl show ip nat translation kann verwendet werden, um die Übersetzungseinträge zu überprüfen, wie in der folgenden Ausgabe gezeigt:

    2514X# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 171.68.1.1          171.68.1.1         171.68.16.10       172.16.88.1
--- ---                 ---                171.68.16.10       172.16.88.1

2514X#

    Die Ausgabe zeigt, dass die globale Adresse für Außenbereiche 172.16.88.1, die die Adresse der Loopback0-Schnittstelle des Routers 2514W ist, in die lokale Außenadresse 171.68.16.10 umgewandelt wird.

    Sie können den Befehl show ip route verwenden, um die Einträge in der Routing-Tabelle zu überprüfen, wie dargestellt:

    2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       171.68.192.0/24 is directly connected, Ethernet1
S       171.68.1.0/24 [1/0] via 171.68.192.201
S       171.68.16.10/32 [1/0] via 172.16.88.1
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S       172.16.88.0/24 [1/0] via 172.16.191.254
C       172.16.191.252/30 is directly connected, Serial1
2514X#

    Die Ausgabe zeigt eine /32-Route für die lokale Außenadresse 171.68.16.10 an, die aufgrund der Add-Route-Option des ip nat outside source Befehls erstellt wird. Diese Route wird zum Routing und zur Übersetzung von Paketen verwendet, die von innen nach außen im Netzwerk übertragen werden.

    Fehlerbehebung

    In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

    debug ip nat Diese Ausgabe ist das Ergebnis der Ausführung des Debug-IP-Pakets und der Befehle auf dem Router 2514X, während ein Ping von der Loopback0-Schnittstellenadresse des Routers 2514W (172.16.88.1) an die Loopback0-Schnittstellenadresse des Routers 2501E (171.68.1.1.1.1) gesendet wird. ):

    *Mar  1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95]

!--- The source address in the first packet arriving on !--- the outside interface is first translated. 

*Mar  1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via
RIB
*Mar  1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len
100, forward

!--- The ICMP echo request packet with the translated source address !--- is routed and forwarded on the inside interface. 
 
*Mar  1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via
RIB

!--- The ICMP echo reply packet arriving on the inside interface !--- is first routed based on the destination address. 
 
*Mar  1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95]

!--- The destination address in the packet is then translated. 
 

*Mar  1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1
00, forward

!--- The ICMP echo reply packet with the translated destination !--- address is forwarded on the outside interface.

    Das vorherige Verfahren wird für jedes an der externen Schnittstelle empfangene Paket wiederholt.

    Zusammenfassung

    Der Hauptunterschied zwischen der Verwendung des ip nat outside source listBefehls (dynamische NAT) und des ip nat outside source static Befehls (statische NAT) besteht darin, dass in der Übersetzungstabelle keine Einträge vorhanden sind, bis der (für NAT konfigurierte) Router die Übersetzungskriterien des Pakets überprüft. Im vorherigen Beispiel erfüllt das Paket mit dem SA 172.16.88.1 (der in die externe Schnittstelle des Routers 2514X gelangt) die Zugriffsliste 1, die vom ip nat outside source list Befehl verwendet wird. Aus diesem Grund müssen die Pakete vom externen Netzwerk stammen, bevor die Pakete aus dem internen Netzwerk mit der Loopback0-Schnittstelle des Routers 2514W kommunizieren können.

    In diesem Beispiel sind zwei wichtige Punkte zu beachten.

    Wenn das Paket von außen nach innen übertragen wird, erfolgt zunächst die Übersetzung, und anschließend wird die Routing-Tabelle auf das Ziel überprüft. Wenn das Paket von innen nach außen übertragen wird, wird zuerst die Routing-Tabelle auf das Ziel überprüft, und anschließend wird die Übersetzung durchgeführt.

    Zweitens ist es wichtig zu beachten, welcher Teil des IP-Pakets übersetzt wird, wenn die vorherigen Befehle verwendet werden. Die folgende Tabelle enthält einen Leitfaden:

    Command Aktion
    ip nat außerhalb der Quellliste
    • Übersetzt die Quelle von IP-Paketen, die von außen nach innen übertragen werden
    • Übersetzt das Ziel von IP-Paketen, die von innen nach außen übertragen werden
    ip nat in der Quellliste
    • Übersetzt die Quelle von IP-Paketen, die von innen nach außen übertragen werden
    • Übersetzt das Ziel von IP-Paketen, die von außen nach innen übertragen werden

    Diese Richtlinien weisen darauf hin, dass es mehr als eine Möglichkeit gibt, ein Paket zu übersetzen. Abhängig von Ihren spezifischen Anforderungen können Sie bestimmen, wie die NAT-Schnittstellen (innen oder außen) definiert werden und welche Routen die Routing-Tabelle vor oder nach der Übersetzung enthält. Beachten Sie, dass der Teil des Pakets, der umgewandelt wird, von der Richtung, in die sich das Paket bewegt, und von der Konfiguration der NAT abhängt.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    10-Dec-2001
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Katelyn Petty
      Cisco Technical Writer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.