Configurando o Network Address Translation: Introdução

Índice
Introdução
Pré-requisitos
Requisitos
Componentes Usados
Convenções
Etapas de Início Rápido para Configurar e Implementar o NAT
Definindo Interfaces Internas e Externas de NAT
Exemplo: Permitindo que Usuários Internos Acessem a Internet
Configurando o NAT para Permitir que Usuários Internos Acessem a Internet
Configurando o NAT para Permitir que Usuários Internos Acessem a Internet Usando Sobrecarga
Exemplo: Permitindo o Acesso a Dispositivos Internos pela Internet
Configurando o NAT para Permitir o Acesso a Dispositivos Internos pela Internet
Exemplo: Redirecionando o Tráfego de TCP para Outra Porta ou Endereço TCP
Configurando o NAT para Redirecionar o Tráfego de TCP para Outra Porta ou Endereço TCP
Exemplo: Usando o NAT Durante uma Conversão de Rede
Configurando o NAT para Usar Durante uma Transição de Rede
Exemplo: Usando o NAT em Redes Sobrepostas
Verificando Operação de NAT
Conclusão
Informações Relacionadas

Introdução
Este documento explica como configurar o Network Address Translation (NAT) em um roteador Cisco para usar em cenários comuns de rede. O
público alvo deste documento são os usuários NAT iniciantes.

Observação: Neste documento, uma referência à Internet ou a um dispositivo da Internet significa um dispositivo de qualquer rede externa.

Pré-requisitos
Requisitos

Este documento exige um conhecimento básico dos termos usados em relação ao NAT. Algumas das definições podem ser encontradas em NAT:
Definições Locais e Globais.

Componentes Usados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

Cisco 2500 Series Routers

Cisco IOS® Software Release 12.2 (10b)

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os
dispositivos usados neste documento começaram com uma configuração vazia (padrão). Caso esteja trabalhando em uma rede ativa, certifique-se
de ter compreendido o possível impacto dos comandos antes de utilizá-los.

Convenções

Para obter mais informações sobre convenções em documentos, consulte Convenções de dicas técnicas da Cisco.

Etapas de Início Rápido para Configurar e Implementar o NAT

Ao configurar o NAT, muitas vezes será difícil saber onde começar, especialmete se você for iniciante em NAT. Estas etapas o orientam na
definição do que você deseja que o NAT faça e de como configurá-lo:

1. Defina as interfaces interna e externa de NAT.

Os usuários existem fora das interfaces múltiplas?

Há várias interfaces conectadas à Internet?

2. Defina o que você está tentando executar com o NAT.

Você está tentando permitir que usuários internos acessem a Internet?

Você está tentando permitir que a Internet tenha acesso a dispositivos internos (como um servidor de correio ou servidor de Web)?

Está tentando redirecionar o tráfego de TCP para outra porta ou endereço TCP?

Você está usando NAT durante uma transição de rede (por exemplo, você alterou o endereço IP de um servidor e, até que possa
atualizar todos os clientes, você deseja que os clientes não atualizados possam acessar o servidor usando o endereço IP original, bem
como deseja permitir que os clientes atualizados acessem o servidor usando o novo endereço)?

Você está usando o NAT para permitir que redes sobrepostas se comuniquem?

3. Configure o NAT para realizar o que definiu acima. Com base no que foi definido na etapa 2, você precisa determinar qual dos recursos a
seguir deve ser usado:

NAT Estático

NAT Dinâmico

Sobrecarga

Qualquer combinação dos recursos anteriores

4. Verifique a operação NAT.

Cada um dos seguintes exemplos de NAT orienta você pelas etapas de 1 a 3 que compõem as Etapas de Início Rápido acima. Estes exemplos
descrevem alguns cenários comuns em que a Cisco recomenda implementar o NAT.

Definindo Interfaces Internas e Externas de NAT

A primeira etapa na implantação do NAT é definir o NAT nas interfaces internas e externas. Talvez você considere mais fácil definir sua rede
interna como “dentro” e a rede externa como “fora”. Entretanto, os termos interno e externo também estão sujeitos à arbitragem. A figura a seguir
mostra um exemplo disto.

Exemplo: Permitindo que Usuários Internos Acessem a Internet

Você pode desejar permitir que usuários internos acessem a Internet, mas você pode não ter endereços válidos suficientes para acomodar todos
eles. Se todas as comunicações com dispositivos na Internet se originarem de dispositivos internos, você precisa de um único endereço válido ou
de um pool de endereços válidos.
A figura a seguir mostra um diagrama de rede simples com as interfaces do roteador definidas como internas e externas:

Neste exemplo, o NAT deve autorizar certos dispositivos internos (os 31 primeiros de cada sub-rede) a iniciar comunicação com os dispositivos
externos convertendo seus endereços inválidos em um endereço ou pool de endereços válidos. O pool foi definido como o intervalo de endereços
de 172.16.10.1 a 172.16.10.63.

Agora, você está pronto para configurar o NAT. Para realizar o que está definido anteriormente, use o NAT dinâmico. Com ele, a tabela de
conversão no roteador inicialmente está vazia e é preenchida depois que o tráfego que precisa ser convertido passa pelo roteador. (Em oposição
ao NAT estático, em que uma conversão é estaticamente configurada e inserida na tabela de conversão sem a necessidade de nenhum tráfego.)

Neste exemplo, podemos configurar a NAT para converter cada um dos dispositivos internos em um endereço válido exclusivo ou para converter
cada um dos dispositivos internos no mesmo endereço válido. Este segundo método é conhecido como sobrecarga. Segue um exemplo de como
configurar cada método.

Configurando o NAT para Permitir que Usuários Internos Acessem a Internet

Roteador NAT

interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

!--- Define Ethernet 0 com um endereço IP e como uma interface interna do NAT.

interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside

!--- Define Ethernet 1 com um endereço IP e como uma interface interna do NAT.

interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside

!--- Define serial 0 com um endereço IP e como uma interface externa do NAT.

ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24

!

!--- Define um pool NAT denominado no-overload com um intervalo de endereços

!--- 172.16.10.1 - 172.16.10.63.

ip nat inside source list 7 pool no-overload

!
!

!--- Indica que quaisquer pacotes recebidos na interface interna que

!--- sejam permitidos pela lista de acesso 7
!--- terão o endereço de origem convertido em um endereço fora do
!--- pool NAT "no-overload".

access-list 7 permit 10.10.10.0 0.0.0.31

access-list 7 permit 10.10.20.0 0.0.0.31

!--- A lista de acesso 7 permite pacotes com endereços de origem que variam de
!--- 10.10.10.0 até 10.10.10.31 e de 10.10.20.0 até 10.10.20.31.

Observação: A Cisco recomenda que você não configure listas de acesso mencionadas por comandos do NAT com permit any. O uso de
permit any pode faze com que o NAT consuma recursos do roteador demais, o que pode causar problemas de rede.

Observe na configuração acima que somente os primeiros 32 endereços das sub-redes 10.10.10.0 e 10.10.20.0 são permitidos por access-list 7.
Portanto, somente estes endereços de origem são traduzidos. É possível que haja outros dispositivos com outros endereço na rede interna, mas
eles não serão traduzidos.

A etapa final é verificar se o NAT está operando conforme pretendido.

Configurando o NAT para Permitir que Usuários Internos Acessem a Internet Usando Sobrecarga

Roteador NAT

interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

!--- Define Ethernet 0 com um endereço IP e como uma interface interna do NAT.

interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside

!--- Define Ethernet 1 com um endereço IP e como uma interface interna do NAT.

interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside

!--- Define serial 0 com um endereço IP e como uma interface externa do NAT.

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24

!

!--- Define um pool NAT denominado ovrld com um intervalo de endereço IP

!--- único, 172.16.10.1.

ip nat inside source list 7 pool ovrld overload

!
!
!
!

!--- Indica que quaisquer pacotes recebidos na interface interna que

!--- sejam permitidos pela lista de acesso 7 terão o endereço de origem
!--- converido em um endereço fora do pool NAT denominado ovrld.
!--- As conversões serão sobrecarregadas, permitindo que vários dispositivos internos
!--- sejam convertidos no mesmo endereço IP válido.

access-list 7 permit 10.10.10.0 0.0.0.31

access-list 7 permit 10.10.20.0 0.0.0.31

!--- A lista de acesso 7 permite pacotes com endereços de origem que variam de
!--- 10.10.10.0 até 10.10.10.31 e de 10.10.20.0 até 10.10.20.31.

Observe na segunda configuração acima, o pool NAT "ovrld"only tem uma faixa de um endereço. A palavra-chave sobrecarga usada no
comando ip nat inside source list 7 pool ovrld overload permite que o NAT converta vários dispositivos internos no endereço único no
conjunto.

Outra variação desse comando é o ip nat inside source list 7 interface serial 0 overload, que configura NAT para sobrecarga no endereço que é
atribuído à interface serial 0.

Quando a sobrecarga estiver configurada, o roteador manterá informações suficientes de protocolos de nível superior (por exemplo, números de
porta TCP ou UDP) para converter o endereço global novamente no endereço local correto. Para obter definições de endereço global e local,
consulte NAT: Definições Locais e Globais.
A etapa final é verificar se o NAT está operando conforme pretendido.

Exemplo: Permitindo o Acesso a Dispositivos Internos pela Internet

Talvez os dispositivos internos precisem trocar informações com dispositivos na Internet; nesse caso, a comunicação, como um e-mail, é iniciada
nos dispositivos na Internet. É comum para os dispositivos na Internet enviarem email para um servidor de emails que reside na rede interna.

Configurando o NAT para Permitir o Acesso a Dispositivos Internos pela Internet

Neste exemplo, primeiro definimos as interfaces internas e externas do NAT, como mostrado no diagrama de rede anterior.

Em seguida, definimos que desejamos que os usuários na parte interna possam iniciar a comunicação com a parte externa. Os dispositivos na
parte externa devem ser capazes de iniciar a comunicação apenas com o servidor de emails na parte interna.

A terceira etapa é configurar o NAT. Para realizar o que definimos, podemos configurar o NAT estático e dinâmico juntos. Para obter mais
informações sobre como configurar este exemplo, consulte Configurando o NAT Estático e Dinâmico Simultaneamente.

A etapa final é verificar se o NAT está operando conforme pretendido.

Exemplo: Redirecionando o Tráfego de TCP para Outra Porta ou Endereço TCP

Possuir um servidor da Web na rede interna é outro exemplo de quando pode ser necessário para os dispositivos na internet iniciarem a
comunicação com dispositivos internos. Em alguns casos, o servidor interno da Web pode ser configurado para ouvir um tráfego da Web em uma
porta TCP que não seja a porta 80. Por exemplo, o servidor da Web interno pode ser configurado para ouvir na porta TCP 8080. Neste caso, você
pode usar o NAT para redirecionar o tráfego destinado à porta TCP 80 até a porta TCP 8080.

Depois que você definir as interfaces conforme mostrado no diagrama de rede anterior, poderá decidir se deseja que o NAT redirecione pacotes
da parte externa destinados para 172.16.10.8:80 a 172.16.10.8:8080. É possível usar um comando static nat para converter o número da porta
TCP para obter isto. Um exemplo de configuração é mostrado a seguir.

Configurando o NAT para Redirecionar o Tráfego de TCP para Outra Porta ou Endereço TCP

Roteador NAT

interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside

!--- Define Ethernet 0 com um endereço IP e como uma interface interna do NAT.
interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside

!--- Define serial 0 com um endereço IP e como uma interface externa do NAT.

ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Comando NAT estático que indica qualquer pacote recebido na interface
!--- interna com um endereço IP de origem 172.16.10.8:8080 será
!--- convertido em 172.16.10.8:80.

Observe que a descrição de configuração para o comando NAT estático indica qualquer pacote recebido na interface interna com um endereço de
origem 172.16.10.8:8080 será convertido em 172.16.10.8:80. Isto também indica que qualquer pacote recebido na interface externa com um
endereço de destino 172.16.10.8:80 terá o destino convertido em 172.16.10.8:8080.

A etapa final é verificar se o NAT está operando conforme pretendido.

Exemplo: Usando o NAT Durante uma Conversão de Rede

A implantação do NAT é útil quando você precisa reendereçar dispositivos na rede ou quando você está substituindo um dispositivo por outro.
Por exemplo, se todos os dispositivos da rede usarem um determinado servidor e esse servidor precisar ser substituído por outro com um novo
endereço IP, a reconfiguração de todos os dispositivos de rede que utilizarão o novo endereço de servidor exigirá algum tempo. Entretanto, você
pode usar o NAT para configuar os dispositivos usando o endereço antigo para converter seus pacotes para se comunicar com o novo servidor.

Depois que tiver definido as interfaces do NAT conforme mostrado anteriormente, você poderá decidir que o NAT deva permitir que os pacotes
da parte externa destinados para o endereço de servidor antigo (172.16.10.8) sejam convertidos e enviados ao novo endereço de servidor. Observe
que o novo servidor está em outra LAN e os dispositivos nessa LAN ou outros dispositivos acessáveis por meio dessa LAN (dispositivos na parte
interna da rede) devem ser configurados para usar o endereço IP dos novos servidores, se possível.

É possível utilizar o NAT estático para realizar o que você necessita. Um exemplo de configuração é mostrado a seguir.

Configurando o NAT para Usar Durante uma Transição de Rede

Roteador NAT

interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat outside

!--- Define Ethernet 0 com um endereço IP e como uma interface externa do NAT.

interface ethernet 1
ip address 172.16.50.1 255.255.255.0
ip nat inside

!--- Define Ethernet 1 com um endereço IP e como uma interface interna do NAT.
interface serial 0
ip address 200.200.200.5 255.255.255.252

!--- Define serial 0 com um endereço IP. Esta interface não está
!--- participando no NAT.

ip nat inside source static 172.16.50.8 172.16.10.8

!--- Indica que qualquer pacote recebido na interface interna com um

!--- endereço IP de origem 172.16.50.8 seja convertido em 172.16.10.8.

Observe que o comando do NAT de origem externa neste exemplo também indica que os pacotes recebidos na interface externa com um
endereço de destino 172.16.10.8 terão o endereço de destino convertido em 172.16.50.8.

A etapa final é verificar se o NAT está operando conforme pretendido.

Exemplo: Usando o NAT em Redes Sobrepostas

A sobreposição de redes ocorre quando você atribui endereços IP a dispositivos internos que já estão sendo usados por outros dispositivos na
Internet. Redes sobrepostas também ocorrem quando duas empresas, ambas usando endereços IP de RFC 1918 em suas redes, são mescladas.
Essas duas redes precisam se comunicar, preferencialmente, sem que seja necessário endereçar novamente todos os seus dispositivos. Consulte
Usando o NAT em Redes Sobrepostas para obter mais informações sobre como configurar o NAT para esta finalidade.

Verificando Operação de NAT

Depois de ter configurado o NAT, verifique se ele está funcionando conforme esperado. Você pode fazer isso de diversas formas: com um
analisador de rede, comandos show ou comandos debug. Para obter um exemplo detalhado da verificação do NAT, consulte Verificando
Operação do NAT e Solucionando Problemas Básicos do NAT.

Conclusão
Os exemplos neste documento demonstram etapas de início rápido que podem ajudá-lo a configurar e implantar o NAT. Essas etapas de início
rápido incluem:

1. Definir interfaces internas e externas de NAT.

2. Definir o que você está tentando executar com o NAT.

3. Configurar o NAT para realizar o que você definiu na Etapa 2.

4. Verificando a operação de NAT.

Em cada um dos exemplos acima, foram utilizadas várias formas do comando ip nat inside. Também é possível usar o comando ip nat outside
para realizar os mesmos objetivos, tendo em mente a ordem de operações do NAT. Para obter Exemplos de Configurações usando os comandos
ip nat outside, consulte Exemplo de Configuração Usando o Comando ip nat outside source list e Exemplo de Configuração Usando o
Comando ip nat outside source static .

Os exemplos anteriores também demonstraram o seguinte:

Comando Ação

Traduz a origem dos pacotes IP

que seguem de dentro para
fora.

ip nat inside source Converte o destino dos pacotes

IP que viajam de fora para
dentro.

Converte a origem dos pacotes

de IP que se deslocam de fora
para dentro.

ip nat outside source Converte o destino dos pacotes

 IP que estão trafegando de
dentro para fora.

Informações Relacionadas
Página de Suporte do NAT
Página de Suporte de IP Routed Protocols
Página de Suporte de Roteamento IP
Como o NAT Funciona
Ordem de Operação do NAT
Perguntas Mais Freqüentes sobre o Cisco IOS NAT
Suporte Técnico - Cisco Systems

© 1992-2014 Cisco Systems Inc. Todos os direitos reservados.

Data da Geração do PDF: 22 Maio 2008

http://www.cisco.com/cisco/web/support/BR/8/84/84114_12.html