Contenidos

Introduccin Requisitos previos Requisitos Componentes utilizados Convenciones Descripcin general de NAT Configuracin y resultado de NAT Discusiones relacionadas de la comunidad de soporte de Cisco Informacin relacionada

Introduccin
Este documento muestra que el orden en el que se procesan las transacciones mediante Traduccin de direcciones de red (NAT) est basado en si un paquete va de la red interna a la red externa o de la red externa a la red interna

Requisitos previos
Requisitos
!uienes lean este documento deben tener conocimiento del si"uiente tema#

Traduccin de direcciones de red (NAT) $ara obtener ms in%ormacin acerca de NAT& consulte Cmo %unciona NAT

Componentes utilizados
Este documento no tiene restricciones espec'%icas en cuanto a versiones espec'%icas de so%t(are ) *ard(are Nota: +a in%ormacin que contiene este documento se basa en la versin ,- -(-.) del so%t(are /012 de Cisco

Convenciones
$ara obtener ms in%ormacin sobre las convenciones del documento& consulte las Convenciones de conse3os t4cnicos de Cisco

Descripcin general de NAT

En la tabla si"uiente& cuando NAT traduce de "lobal a local& o de local a "lobal& la traduccin es di%erente en cada %lu3o

De afuera hacia adentro De afuera hacia adentro

1i /$1ec& veri%icar la lista de acceso de entrada ci%rado 5 para CET (Tecnolo"'a de ci%rado de Cisco) o /$1ec veri%icar lista de acceso de entrada veri%icar los l'mites de velocidad de entrada contabilidad de entrada ruteo de pol'tica ruteo redireccin al cac*4 de la 6eb NAT de adentro hacia afuera traduccin de local a glo!al" cr)pto (mapa de control ) marca para el ci%rado) veri%icar lista de acceso de salida inspeccin (Control de acceso basado en contexto (C7AC)) /ntercepcin TC$ ci%rado Cola

1i /$1ec& veri%icar la lista de acceso de entrada desci%rado 8 para CET o /$1ec veri%icar lista de acceso de entrada veri%icar los l'mites de velocidad de entrada contabilidad de entrada NAT de afuera hacia adentro traduccin de glo!al a local" ruteo de pol'tica ruteo redireccin al cac*4 de la 6eb cr)pto (mapa de control ) marca para el ci%rado) veri%icar lista de accesos de salida inspeccin C7AC /ntercepcin TC$ ci%rado Cola

Configuracin y resultado de NAT

El e3emplo si"uiente demuestra cmo la orden de operaciones puede e%ectuar NAT En este caso& slo se muestran NAT ) el ruteo

En el e3emplo anterior& el router8A se con%i"ura para traducir la direccin local interna ,., 9: -;; <: a ,.- ,9 <. ,=;& como se muestra en la con%i"uracin a continuacin
! version 11.2 no service udp-small-servers no service tcp-small-servers ! hostname Router-A ! enable password ww ! ip nat inside source static 171.68.200.48 172.16.47.150 !--- Este comando crea un traduccin NAT esttica !--- de entre 171.68.200.48 y 172.16.47.150. ip domain-name cisco.com ip name-server 171.69.2.132 ! interface thernet! no ip address shutdown ! interface "erial! ip address 172.16.#7.161 2$$.2$$.2$$.2#! ip nat inside !--- on!i"ura #eria$0 como $a inter!a% interna NAT no ip mroute-cache no ip route-cache no fair-%ueue ! interface "erial1 ip address 172.16.#7.1#6 2$$.2$$.2$$.2#! ip nat outside !--- on!i"ura #eria$1 como $a inter!a% e&terna NAT no ip mroute-cache no ip route-cache ! no ip classless ip route 0.0.0.0 0.0.0.0 172.16.47.145 !--- on!i"ura $a ruta 'redeterminada 'ara 172.16.47.145

ip route 171.6&.2!!.! 2$$.2$$.2$$.! 172.16.#7.162 ! ! line con ! e'ec-timeout ! ! line au' ! line vt( ! # password ww lo)in ! end

+a tabla de traduccin indica que existe la traduccin deseada

Router-A*show ip nat translation +ro ,nside )lobal ,nside local )lobal --- 172.16.#7.1$! 171.6&.2!!.#& -utside local ---utside ---

+a si"uiente salida corresponde a un router8A con de!ug ip pac#et detail ) de!ug ip nat *abilitados& ) un pin" emitido desde el dispositivo ,., 9: -;; <: destinado para ,.- ,9 <. ,<Nota: +os comandos de depuracin "eneran una cantidad si"ni%icativa de salida >til'celos slo cuando el tr%ico en la red /$ sea ba3o& de modo de no causar un e%ecto adverso en otra actividad del sistema Antes de e3ecutar los comandos de!ug& por %avor& consulte /n%ormacin importante sobre los comandos de depuracin
,+. s/171.6&.2!!.#& 0"erial!12 d/172.16.#7.1#22 len 1!!2 unroutable ,34+ t(pe/&2 code/! ,+. s/172.16.#7.161 0local12 d/171.6&.2!!.#& 0"erial!12 len $62 sendin) ,34+ t(pe/32 code/1 ,+. s/171.6&.2!!.#& 0"erial!12 d/172.16.#7.1#22 len 1!!2 unroutable ,34+ t(pe/&2 code/! ,+. s/171.6&.2!!.#& 0"erial!12 d/172.16.#7.1#22 len 1!!2 unroutable ,34+ t(pe/&2 code/! ,+. s/172.16.#7.161 0local12 d/171.6&.2!!.#& 0"erial!12 len $62 sendin) ,34+ t(pe/32 code/1 ,+. s/171.6&.2!!.#& 0"erial!12 d/172.16.#7.1#22 len 1!!2 unroutable ,34+ t(pe/&2 code/! ,+. s/171.6&.2!!.#& 0"erial!12 d/172.16.#7.1#22 len 1!!2 unroutable ,34+ t(pe/&2 code/! ,+. s/172.16.#7.161 0local12 d/171.6&.2!!.#& 0"erial!12 len $62 sendin) ,34+ t(pe/32 code/1

Al no existir mensa3es NAT de depuracin en la salida anterior& se sabe que no se est utilizando la traduccin esttica existente ) que el router no tiene una ruta para la direccin de destino (,.- ,9 <. ,<-) en su tabla de ruteo El resultado del paquete no enrutable es un mensa3e /C?$ %uera de alcance& que se env'a al dispositivo interno

1in embar"o& el router8A tiene una ruta predeterminada de ,.- ,9 <. ,<=& entonces& @por qu4 la ruta es considerada no enrutableA El router8A tiene con%i"urado no ip classless& lo que si"ni%ica que si un paquete destinado para una direccin de red BprincipalB (en este caso& ,.- ,9 ; ;) para la que existen subredes en la tabla de ruteo& el router se basar en la ruta predeterminada En otras palabras& la e3ecucin del comando no ip classless desactiva la capacidad del router de buscar la ruta con la coincidencia ms lar"a de bits $ara cambiar este comportamiento& debe con%i"urar ip classlessen el router8A El comando ip classless est *abilitado en los routers de Cisco de manera predeterminada con la versin ,, C de /01 ) anteriores
Router-A*configure terminal nter confi)uration commands2 one per line. Router-A0confi)1*ip classless Router-A0confi)1*end nd with 35R678.

Router-A*show ip nat translation 9":"-$-3-;<,=>,. 3onfi)ured from console b( console nat tr +ro ,nside )lobal ,nside local -utside local )lobal --- 172.16.#7.1$! 171.6&.2!!.#& ---

-utside ---

1i se repite la misma prueba de pin" antes mencionada& se observa que el paquete se traduce ) el pin" es correcto
+in) Response on device 171.6&.2!!.#& ?.@Apin) 172.16.#7.1#2 +in)in) 172.16.#7.1#2 with 32 b(tes of data. Repl( Repl( Repl( Repl( from from from from 172.16.#7.1#2. 172.16.#7.1#2. 172.16.#7.1#2. 172.16.#7.1#2. b(tes/32 b(tes/32 b(tes/32 b(tes/32 time/1!ms timeB1!ms timeB1!ms timeB1!ms 556/2$$ 556/2$$ 556/2$$ 556/2$$

+in) statistics for 172.16.#7.1#2. +acCets. "ent / #2 Received / #2 6ost / ! 0!91 Appro'imate round trip times in milli-seconds. 4inimum / !ms2 4a'imum / 1!ms2 Avera)e / 2ms ?ebu) messa)es on Router A indicatin) that the pacCets )enerated b( device 171.6&.2!!.#& are )ettin) translated b( ;A5. Router-A* *Mar 28 03 34 28 !" ta#leid$0% s$171.68.200.48 &'erial0(% d$172.16.47.142 &'erial1(% enrutado a tra)*s de +!, *Mar 28 03 34 28 -./ s$171.68.200.4801172.16.47.150% d$172.16.47.142 21603 *Mar 28 03 34 28 !" s$172.16.47.150 &'erial0(% d$172.16.47.142 &'erial1(%

g$172.16.47.145% len 100% reen)iar *Mar 28 03 34 28 /ipo de !4M"$8% c5digo$0 *Mar 28 03 34 28 -./* s$172.16.47.142% d$172.16.47.15001171.68.200.48 21603 *Mar 28 03 34 28 !" ta#leid$0% s$172.16.47.142 &'erial1(% d$171.68.200.48 &'erial0(% enrutado a tra)*s de +!, *Mar 28 03 34 28 !" s$172.16.47.142 &'erial1(% d$171.68.200.48 &'erial0(% g$172.16.47.162% len 100% reen)iar *Mar 28 03 34 28 /ipo de !4M"$0% c5digo$0 D4ar 2& !3.3#.2&. ;A5D. s/171.6&.2!!.#&-A172.16.#7.1$!2 d/172.16.#7.1#2 E161F D4ar 2& !3.3#.2&. ;A5D. s/172.16.#7.1#22 d/172.16.#7.1$!-A171.6&.2!!.#& E161F D4ar 2& !3.3#.2&. ,+. tableid/!2 s/172.16.#7.1#2 0"erial112 d/171.6&.2!!.#& 0"erial!12 routed via R,G D4ar 2& !3.3#.2&. ,+. s/172.16.#7.1#2 0"erial112 d/171.6&.2!!.#& 0"erial!12 )/172.16.#7.1622 len 1!!2 forward D4ar 2& !3.3#.2&. ,34+ t(pe/!2 code/! D4ar 2& !3.3#.2&. ;A5D. s/171.6&.2!!.#&-A172.16.#7.1$!2 d/172.16.#7.1#2 E162F D4ar 2& !3.3#.2&. ;A5D. s/172.16.#7.1#22 d/172.16.#7.1$!-A171.6&.2!!.#& E162F D4ar 2& !3.3#.2&. ,+. tableid/!2 s/172.16.#7.1#2 0"erial112 d/171.6&.2!!.#& 0"erial!12 routed via R,G D4ar 2& !3.3#.2&. ,+. s/172.16.#7.1#2 0"erial112 d/171.6&.2!!.#& 0"erial!12 )/172.16.#7.1622 len 1!!2 forward D4ar 2& !3.3#.2&. ,34+ t(pe/!2 code/! D4ar 2& !3.3#.2&. ;A5D. s/171.6&.2!!.#&-A172.16.#7.1$!2 d/172.16.#7.1#2 E163F D4ar 2& !3.3#.2&. ;A5D. s/172.16.#7.1#22 d/172.16.#7.1$!-A171.6&.2!!.#& E163F D4ar 2& !3.3#.2&. ,+. tableid/!2 s/172.16.#7.1#2 0"erial112 d/171.6&.2!!.#& 0"erial!12 routed via R,G D4ar 2& !3.3#.2&. ,+. s/172.16.#7.1#2 0"erial112 d/171.6&.2!!.#& 0"erial!12 )/172.16.#7.1622 len 1!!2 forward D4ar 2& !3.3#.2&. ,34+ t(pe/!2 code/! D4ar 2& !3.3#.2&. ;A5D. s/171.6&.2!!.#&-A172.16.#7.1$!2 d/172.16.#7.1#2 E16#F D4ar 2& !3.3#.2&. ;A5D. s/172.16.#7.1#22 d/172.16.#7.1$!-A171.6&.2!!.#& E16#F D4ar 2& !3.3#.2&. ,+. tableid/!2 s/172.16.#7.1#2 0"erial112 d/171.6&.2!!.#& 0"erial!12 routed via R,G D4ar 2& !3.3#.2&. ,+. s/172.16.#7.1#2 0"erial112 d/171.6&.2!!.#& 0"erial!12 )/172.16.#7.1622 len 1!!2 forward D4ar 2& !3.3#.2&. ,34+ t(pe/!2 code/! Router-A*unde#ug all

All possible debu))in) has been turned off

El e3emplo anterior muestra que cuando un paquete via3a de adentro *acia a%uera& un router NAT veri%ica su tabla de ruteo para obtener una ruta a la direccin externa& antes de continuar traduciendo el paquete $or lo tanto& es importante que el router NAT ten"a una ruta vlida para la red externa +a ruta a la red de destino se conocer a trav4s de una inter%az de%inida como NAT externa en la con%i"uracin del router Es importante tener en cuenta que los paquetes de devolucin se traducen antes de enrutarse $or lo tanto& el router NAT debe tener una ruta vlida para la direccin local interna en su tabla de ruteo