Laboratrio - Configurao de NAT Dinmico e Esttico

Topologia

Tabela de Endereamento
Dispositivo
Gateway

Interface

Endereo IP

Mscara de
Sub-rede

Gateway padro

G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/1

209.165.201.18

255.255.255.252

N/A

S0/0/0 (DCE)

209.165.201.17

255.255.255.252

N/A

Lo0

192.31.7.1

255.255.255.255

N/A

PC-A (Servidor
simulado)

NIC

192.168.1.20

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.1.21

255.255.255.0

192.168.1.1

ISP

Objetivos
Parte 1: Construir a rede e verificar a conectividade
Parte 2: Configurar e verificar o NAT esttico
Parte 3: Configurar e verificar o NAT dinmico

Histrico/cenrio
A O NAT (Network Address Translation) o processo no qual um dispositivo de rede, como um roteador
Cisco, atribui um endereo pblico aos dispositivos de host em uma rede privada. A principal razo para se
usar o NAT consiste em reduzir o nmero de endereos IP pblicos que uma organizao usa j que o
nmero de endereos IPv4 pblicos disponveis limitado.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.

Pgina 1 de 8

Laboratrio - Configurao de NAT Dinmico e Esttico

Neste laboratrio, um ISP alocou o espao de endereo IP pblico de 209.165.200.224/27 para uma
empresa. Isso fornece empresa 30 endereos IP pblicos. Os endereos 209.165.200.225 a
209.165.200.241 destinam-se alocao esttica, ao passo que 209.165.200.242 a 209.165.200.254
destinam-se alocao dinmica. Uma rota esttica usada do ISP at o roteador do gateway e uma rota
padro usada do gateway at o roteador do ISP. A conexo do ISP com a Internet simulada por um
endereo de loopback no roteador do ISP.
Observao: os roteadores usados nos laboratrios prticos CCNA so Roteadores de Servios Integrados
(ISRs) 1941 com software IOS Cisco verso 15.2(4) M3 (imagem universalk9). Os switches usados so
Cisco Catalyst 2960s com IOS Cisco verso 15.0(2) (imagem lanbasek9). Outros roteadores, switches e
verses do IOS Cisco podem ser usados. Dependendo do modelo e da verso do IOS Cisco, os comandos
disponveis e a sada produzida podem diferir dos mostrados nos laboratrios. Consulte a tabela Resumo da
interface do roteador no final deste laboratrio para obter os identificadores de interface corretos.
Observao: certifique-se de que os roteadores e o switch tenham sido apagados e que no haja mais
nenhuma configurao de inicializao. Se estiver em dvida, entre em contato com o instrutor.

Recursos necessrios

2 roteadores (Cisco 1941 com IOS Cisco verso 15.2(4)M3, imagem universal ou semelhante)

1 switch (Cisco 2960 com IOS Cisco verso 15.0(2), imagem lanbasek9 ou semelhante)

2 PCs (Windows 7, Vista ou XP com um programa de emulao de terminal, como o Tera Term)

Cabos de console para configurar os dispositivos IOS Cisco atravs das portas de console

Cabos Ethernet e seriais, conforme mostrado na topologia

Parte 1: Construir a rede e verificar a conectividade

Na parte 1, voc vai configurar a topologia de rede e definir as configuraes bsicas, como os endereos IP
da interface, o roteamento esttico, o acesso a dispositivos e a senhas.

Etapa 1: Instale os cabos da rede conforme mostrado na topologia.

Conecte os dispositivos mostrados no diagrama da topologia e faa o cabeamento, se necessrio.

Etapa 2: Configure os hosts do PC.

Etapa 3: Inicialize e recarregue os roteadores e switches, conforme necessrio.
Etapa 4: Defina as configuraes bsicas de cada roteador.
a. Desative a pesquisa DNS.
b. Configure os endereos IP dos roteadores conforme indicado na Tabela de Endereamento.
c.

Defina clock rate como 128000 para as interfaces seriais DCE.

d. Configure o nome do dispositivo conforme mostrado na topologia.

e. Atribua cisco como senha de console e vty.
f.

Atribua class como a senha criptografada do modo EXEC privilegiado.

g. Configure logging synchronous para evitar que mensagens do console interrompam a entrada do
comando.

Etapa 5: Crie um servidor web simulado em ISP.

a. Crie um usurio local chamado webuser com uma senha criptografada de webpass.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.

Pgina 2 de 8

Laboratrio - Configurao de NAT Dinmico e Esttico

ISP(config)# username webuser privilege 15 secret webpass
b. Habilite o servio do servidor HTTP no ISP.
ISP(config)# ip http server
c.

Configure o servio HTTP para usar o banco de dados de usurio local.

ISP(config)# ip http authentication local

Etapa 6: Configure o roteamento esttico.

a. Crie uma rota esttica do roteador do ISP at o roteador do gateway, usando o intervalo de endereo de
rede pblico atribudo 209.165.200.224/27.
ISP(config)# ip route 209.165.200.224 255.255.255.224 209.165.201.18
b. Crie uma rota padro do roteador do gateway para o roteador do ISP.
Gateway(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.17

Etapa 7: Salve a configurao em execuo na configurao de inicializao.

Etapa 8: Verificar a conectividade de rede.
a. A partir dos hosts do PC, faa ping na interface G0/1 do roteador do gateway. Se os pings no forem
bem-sucedidos, identifique e solucione os problemas.
b. Exiba as tabelas de roteamento dos dois roteadores para verificar se as rotas estticas esto na tabela e
se foram configuradas corretamente nos dois roteadores.

Parte 2: Configure e verifique o NAT esttico

O NAT esttico usa um mapeamento um-para-um de endereos locais e globais, e tais mapeamentos
permanecem constantes. O NAT esttico particularmente til para servidores web ou dispositivos que
precisem ter endereos estticos acessveis pela Internet.

Etapa 1: Configure um mapeamento esttico.

Um mapa esttico configurado para instruir o roteador a converter entre o endereo do servidor interno
privado 192.168.1.20 e o endereo pblico 209.165.200.225. Isso permite que um usurio da Internet acesse
o PC-A. O PC-A est simulando um servidor ou um dispositivo com um endereo constante que pode ser
acessado da Internet.
Gateway(config)# ipnat inside source static 192.168.1.20 209.165.200.225

Etapa 2: Especifique as interfaces.

Execute os comandos ip nat inside e ip nat outside para as interfaces.
Gateway(config)# interface g0/1
Gateway(config-if)# ipnat inside
Gateway(config-if)# interface s0/0/1
Gateway(config-if)# ipnat outside

Etapa 3: Teste a configurao.

a. Exiba a tabela NAT esttica, emitindo o comando show ip nat translations.
Gateway# show ipnat translations
Pro Inside global

Inside local

Outside local

Outside global

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.

Pgina 3 de 8

Laboratrio - Configurao de NAT Dinmico e Esttico

--- 209.165.200.225

192.168.1.20

---

---

Qual a converso dos endereos de host locais internos?

192.168.1.20 = _______________________________________________________________________
Por quem o endereo global interno atribudo?
____________________________________________________________________________________
Por quem o endereo local interno atribudo?
____________________________________________________________________________________
b. Do PC-A, faa ping na interface Lo0 (192.31.7.1) do ISP. Se o ping no tiver sido bem-sucedido,
identifique e solucione os problemas. No roteador do gateway, exiba a tabela do NAT.
Gateway# show ip nat translations

Pro Inside global

Inside local
icmp 209.165.200.225:1 192.168.1.20:1
--- 209.165.200.225
192.168.1.20

Outside local
192.31.7.1:1
---

Outside global
192.31.7.1:1
---

Uma entrada NAT foi adicionada tabela com o ICMP listado como protocolo quando o PC-A enviou
uma solicitao ICMP (ping) ao endereo 192.31.7.1 no ISP.
Que nmero de porta foi usado nesta troca de ICMPs? ________________
Observao: talvez seja necessrio desativar o firewall do PC-A para que o ping seja bem-sucedido.
c.

Do PC-A, faa uma sesso telnet para a interface Lo0 do ISP e exiba a tabela NAT.
Pro Inside global
icmp 209.165.200.225:1
tcp 209.165.200.225:1034
--- 209.165.200.225

Inside local
192.168.1.20:1
192.168.1.20:1034
192.168.1.20

Outside local
192.31.7.1:1
192.31.7.1:23
---

Outside global
192.31.7.1:1
192.31.7.1:23
---

Observao: o NAT da solicitao ICMP pode ter atingido o tempo limite e ter sido removido da tabela
NAT.
Qual foi o protocolo usado nesta converso? ____________
Quais so os nmeros de porta usados?
Global interno / local: ________________
Global externo / local: _______________
d. Como o NAT esttico foi configurado para o PC-A, verifique se o ping do ISP para o PC-A no endereo
pblico NAT esttico (209.165.200.225) bem-sucedido.
e. No roteador do gateway, exiba a tabela NAT para verificar a converso.
Gateway# show ipnat translations

Pro Inside global

Inside local
icmp 209.165.200.225:12 192.168.1.20:12
--- 209.165.200.225
192.168.1.20

Outside local
209.165.201.17:12
---

Outside global
209.165.201.17:12
---

Observe que os endereos local e global externos so os mesmos. Este endereo o endereo origem
da rede remota do ISP. Para que o ping do ISP tivesse xito, o endereo NAT esttico global interno
209.165.200.225 foi convertido para o endereo local interno do PC-A (192.168.1.20).
f.

Para verificar as estatsticas do NAT, useo comando show ip nat statistics no roteador do gateway.
Gateway# show ipnat statics

Total active translations: 2 (1 static, 1 dynamic; 1 extended)

Peak translations: 2, occurred 00:02:12 ago

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.

Pgina 4 de 8

Laboratrio - Configurao de NAT Dinmico e Esttico

Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 39 Misses: 0
CEF Translated packets: 39, CEF Punted packets: 0
Expired translations: 3
Dynamic mappings:
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0

Observao: este apenas um exemplo de sada. A sua sada talvez no seja exatamente igual.

Parte 3: Configure e verifique o NAT dinmico

O NAT dinmico usa um pool de endereos pblicos e os atribui por ordem de chegada. Quando um
dispositivo interno solicita acesso a uma rede externa, o NAT dinmico designa um endereo IPv4 pblico
disponvel no pool. O NAT dinmico resulta em um mapeamento de endereo muitos-para-muitos entre
endereos locais e globais.

Etapa 1: Apague os NATs.

Antes de continuar a adicionar NATs dinmicos, apague os NATs e as estatsticas da Parte 2.
Gateway# clear ipnat translation *
Gateway# clear ip nat statistics

Etapa 2: Defina uma lista de controle de acesso (ACL) que corresponda ao intervalo de
endereo IP privado de LAN.
A ACL 1 usada para permitir que a rede 192.168.1.0/24 seja convertida.
Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

Etapa 3: Verifique se as configuraes de interface NAT ainda so vlidas.

Emita o comando show ip nat statistics no roteador do gateway para verificar as configuraes de NAT.

Etapa 4: Defina o pool de endereos IP pblicos utilizveis.

Gateway(config)#ipnat pool public_access 209.165.200.242209.165.200.254
netmask 255.255.255.224

Etapa 5: Defina o NAT da lista de origem interna para o pool externo.

Observao: lembre-se de que os nomes do pool de NAT diferenciam maisculas e minsculas e que o
nome do pool inserido aqui deve corresponder ao usado na Etapa anterior.
Gateway(config)# ipnat inside source list 1 pool public_access

Etapa 6: Teste a configurao.

a. Do PC-B, faa ping na interface Lo0 (192.31.7.1) do ISP. Se o ping no tiver sido bem-sucedido,
identifique e solucione os problemas. No roteador do gateway, exiba a tabela do NAT.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.

Pgina 5 de 8

Laboratrio - Configurao de NAT Dinmico e Esttico

Gateway# show ip nat translations
Pro Inside global
--- 209.165.200.225
icmp 209.165.200.242:1
--- 209.165.200.242

Inside local
192.168.1.20
192.168.1.21:1
192.168.1.21

Outside local
--192.31.7.1:1
---

Outside global
--192.31.7.1:1
---

Qual a converso do endereo de host local interno para o PC-B?

192.168.1.21 = ________________________________________________________
Uma entrada de NAT dinmico foi adicionada tabela com o ICMP como protocolo quando o PC-B
enviou uma mensagem ICMP ao endereo 192.31.7.1 do ISP.
Que nmero de porta foi usado nesta troca de ICMPs? _____________________
b. Do PC-B, abra um navegador e insira o endereo IP do servidor web ISP simulado (Interface Lo0).
Quando solicitado, faa login como webuser com uma senha de webpass.
c.

Exiba a tabela do NAT.

Pro
--tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
---

Inside global
Inside local
Outside local
209.165.200.225
192.168.1.20
--209.165.200.242:1038 192.168.1.21:1038 192.31.7.1:80
209.165.200.242:1039 192.168.1.21:1039 192.31.7.1:80
209.165.200.242:1040 192.168.1.21:1040 192.31.7.1:80
209.165.200.242:1041 192.168.1.21:1041 192.31.7.1:80
209.165.200.242:1042 192.168.1.21:1042 192.31.7.1:80
209.165.200.242:1043 192.168.1.21:1043 192.31.7.1:80
209.165.200.242:1044 192.168.1.21:1044 192.31.7.1:80
209.165.200.242:1045 192.168.1.21:1045 192.31.7.1:80
209.165.200.242:1046 192.168.1.21:1046 192.31.7.1:80
209.165.200.242:1047 192.168.1.21:1047 192.31.7.1:80
209.165.200.242:1048 192.168.1.21:1048 192.31.7.1:80
209.165.200.242:1049 192.168.1.21:1049 192.31.7.1:80
209.165.200.242:1050 192.168.1.21:1050 192.31.7.1:80
209.165.200.242:1051 192.168.1.21:1051 192.31.7.1:80
209.165.200.242:1052 192.168.1.21:1052 192.31.7.1:80
209.165.200.242
192.168.1.22
---

Outside global
--192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
192.31.7.1:80
---

Qual protocolo foi usado nesta converso? ____________

Quais nmeros de portas foram usados?
Dentro: ________________
fora: ________________
Que nmero e servio de porta reconhecidos foram usados? ________________
d. Para verificar as estatsticas do NAT, useo comando show ip nat statistics no roteador do gateway.
Gateway# show ipnat statistics

Total active translations: 3 (1 static, 2 dynamic; 1 extended)

Peak translations: 17, occurred 00:06:40 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 345 Misses: 0

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.

Pgina 6 de 8

Laboratrio - Configurao de NAT Dinmico e Esttico

CEF Translated packets: 345, CEF Punted packets: 0
Expired translations: 20
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool public_accessrefcount 2
poolpublic_access: netmask 255.255.255.224
start 209.165.200.242 end 209.165.200.254
type generic, total addresses 13, allocated 1 (7%), misses 0
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0

Observao: este apenas um exemplo de sada. A sua sada talvez no seja exatamente igual.

Etapa 7: Remova a entrada do NAT esttico.

Na Etapa 7, a entrada do NAT esttico removida e voc pode observar a entrada NAT.
a. Remova o NAT esttico da Parte 2. Insira yes quando perguntado se deseja excluir as entradas filhas.
Gateway(config)# no ipnat inside source static 192.168.1.20 209.165.200.225
Static entry in use, do you want to delete child entries? [no]: yes
b. Apague os NATs e as estatsticas.
c.

Faa ping no ISP (192.31.7.1) de ambos os hosts.

d. Exiba a tabela NAT e as estatsticas.

Gateway# show ipnat statistics

Total active translations: 4 (0 static, 4 dynamic; 2 extended)

Peak translations: 15, occurred 00:00:43 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 16 Misses: 0
CEF Translated packets: 285, CEF Punted packets: 0
Expired translations: 11
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool public_accessrefcount 4
poolpublic_access: netmask 255.255.255.224
start 209.165.200.242 end 209.165.200.254
type generic, total addresses 13, allocated 2 (15%), misses 0
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.

Pgina 7 de 8

Laboratrio - Configurao de NAT Dinmico e Esttico

Gateway# show ipnat translation

Pro Inside global

Inside local
icmp 209.165.200.243:512 192.168.1.20:512
--- 209.165.200.243
192.168.1.20
icmp 209.165.200.242:512 192.168.1.21:512
--- 209.165.200.242
192.168.1.21

Outside local
192.31.7.1:512
--192.31.7.1:512
---

Outside global
192.31.7.1:512
--192.31.7.1:512
---

Observao: este apenas um exemplo de sada. A sua sada talvez no seja exatamente igual.

Reflexo
1. Por que o NAT seria usado em uma rede?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Quais so os limitaes do NAT?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________

Tabela Resumo das Interfaces dos Roteadores

Resumo da interface do roteador
Modelo do
roteador

Interface Ethernet 1

Interface Ethernet 2

Interface Serial 1

Interface Serial 2

1800

Fast Ethernet 0/0

(F0/0)

Fast Ethernet 0/1

(F0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900

Gigabit Ethernet 0/0

(G0/0)

Gigabit Ethernet 0/1

(G0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801

Fast Ethernet 0/0

(F0/0)

Fast Ethernet 0/1

(F0/1)

Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811

Fast Ethernet 0/0

(F0/0)

Fast Ethernet 0/1

(F0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900

Gigabit Ethernet 0/0

(G0/0)

Gigabit Ethernet 0/1

(G0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

Observao: para descobrir como o roteador est configurado, analise as interfaces para identificar o tipo de
roteador e quantas interfaces ele possui. No h como listar com eficcia todas as combinaes de configurao
de cada classe de roteador. Esta tabela inclui identificadores para as possveis combinaes de interfaces
seriais e de Ethernet no dispositivo. A tabela no inclui nenhum outro tipo de interface, embora um roteador
especfico possa conter algum. Um exemplo disso poderia ser uma interface ISDN BRI. A sequncia entre
parnteses a abreviatura legal que pode ser usada nos comandos do IOS Cisco para representar a interface.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.

Pgina 8 de 8