Assine o DeepL Pro para traduzir documentos maiores.

Visite www.DeepL.com/pro para mais informações.

CAPÍTULO 10

Tradução de endereços de rede

Este capítulo aborda os seguintes tópicos do exame:
4.0 Serviços IP
4.1 Configurar e verificar a NAT de origem interna usando estática e pools

Este capítulo examina uma parte muito popular e muito importante de redes corporativas e
de pequenos escritórios/escritórios domésticos (SOHO): Network Address Translation, ou
NAT. O NAT ajudou a resolver um grande problema com o IPv4: o espaço de endereços
IPv4 teria sido completamente consumido em meados da década de 1990. Depois de
consumido, a Internet não poderia continuar a crescer, o que teria abrandado
significativamente o desenvolvimento da Internet.
Este capítulo divide os tópicos em três secções principais. A primeira seção explica os
desafios ao espaço de endereços IPv4 causados pela revolução da Internet nos anos 1990. A
segunda secção explica o conceito básico por trás do NAT, como funcionam as diversas
variações do NAT e como a opção Port Address Translation (PAT) conserva o espaço de
endereços IPv4. A secção final mostra como configurar a NAT a partir da interface de linha
de comandos (CLI) do software Cisco IOS e como solucionar problemas de NAT.

"Será que já sei isto?" Questionário

Faça o teste (aqui ou utilizando o software PTP) se quiser utilizar a pontuação para o
ajudar a decidir quanto tempo dedicar a este capítulo. As respostas por letras estão listadas
no final da página seguinte ao questionário. O Apêndice C, que se encontra tanto no final
do livro como no sítio Web que o acompanha, inclui as respostas e as explicações.
Também pode encontrar as respostas e as explicações no software de teste PTP.

Tabela 10-1 " Será que já sei isto?" Mapeamento da secção para pergunta dos Tópicos Básicos
Secção Tópicos da Fundação Perguntas
Perspectivas sobre a escalabilidade dos endereços IPv4 1-2
Conceitos de tradução de endereços de rede 3-4
Configuração e resolução de problemas de NAT 5-7

1. Qual das seguintes sub-redes resumidas representa rotas que poderiam ter sido
criadas para o objetivo do CIDR de reduzir o tamanho das tabelas de
encaminhamento da Internet?
a. 10.0.0.0 255.255.255.0
b. 10.1.0.0 255.255.0.0
c. 200.1.1.0 255.255.255.0
d. 200.1.0.0 255.255.0.0
2. Quais dos seguintes não são endereços privados de acordo com o RFC 1918?
(Escolha duas respostas.)
a. 172.31.1.1
b. 172.33.1.1
c. 10.255.1.1
d. 10.1.255.1
e. 191.168.1.1
3. Com o NAT estático, realizando a tradução apenas para endereços internos, o que
faz com que as entradas da tabela NAT sejam criadas?
a. O primeiro pacote da rede interna para a rede externa
b. O primeiro pacote da rede externa para a rede interna
c. Configuração utilizando o comando ip nat inside source
d. Configuração utilizando o comando ip nat outside source
4. Com o NAT dinâmico, realizando a tradução apenas para endereços internos, o
que faz com que as entradas da tabela NAT sejam criadas?
a. O primeiro pacote da rede interna para a rede externa
b. O primeiro pacote da rede externa para a rede interna
c. Configuração utilizando o comando ip nat inside source
d. Configuração utilizando o comando ip nat outside source
5. O NAT foi configurado para traduzir os endereços de origem dos pacotes para a
parte interna da rede, mas apenas para alguns anfitriões identificados por uma lista
de controlo de acesso. Qual dos seguintes comandos identifica indiretamente os
hosts?
a. ip nat inside source list 1 pool barney
b. ip nat pool barney 200.1.1.1 200.1.1.254 netmask 255.255.255.0
c. ip nat inside
d. ip nat inside 200.1.1.1 200.1.1.2
204 CCNA 200-301 Official Cert Guide, Volume 2

6. Examine os seguintes comandos de configuração:

interface Ethernet0/0
endereço ip 10.1.1.1 255.255.255.0
ip nat inside
interface Serial0/0
endereço ip 200.1.1.249 255.255.255.252
ip nat inside source list 1 interface Serial0/0
access-list 1 permit 10.1.1.0 0.0.0.0.255

Se a configuração tiver como objetivo habilitar a sobrecarga de NAT de origem,

qual dos seguintes comandos pode ser útil para completar a configuração? (Escolha
duas respostas.)
a. O comando ip nat outside
b. O comando ip nat pat
c. A palavra-chave de sobrecarga
d. O comando ip nat pool
7. Examine a seguinte saída do comando show num router configurado para NAT
dinâmico:
-- Fonte interna
access-list 1 pool fred refcount 2288
pool fred: netmask 255.255.255.240
start 200.1.1.1 end 200.1.1.7
tipo genérico, total de endereços 7, atribuídos 7 (100%), faltas 965

Os utilizadores estão a queixar-se de não conseguirem aceder à Internet. Qual das

seguintes opções é a causa mais provável?
a. O problema não está relacionado com a NAT, com base nas informações
contidas na saída do comando.
b. O pool NAT não tem entradas suficientes para satisfazer todos os pedidos.
c. A ACL 1 padrão não pode ser utilizada; deve ser utilizada uma ACL alargada.
d. A saída do comando não fornece informações suficientes para identificar o problema.

Perspectivas da Foundation Topics

sobre a escalabilidade dos endereços IPv4

A conceção original da Internet exigia que cada organização pedisse e recebesse um ou
mais números de rede IPv4 de classe registada. As pessoas que administravam o programa
garantiam que nenhuma das redes IP fosse reutilizada. Desde que cada organização usasse
apenas endereços IP dentro de seus próprios números de rede registrados, os endereços IP
nunca seriam duplicados e o roteamento IP poderia funcionar bem.
A ligação à Internet utilizando apenas um número de rede registado, ou vários números de
rede registados, funcionou bem durante algum tempo. No início e meados da década de
1990, tornou-se evidente que a Internet estava a crescer tão rapidamente que todos os
 Capítulo 10: T r a d u ç ã o d e endereços de
números de rede IP seriam atribuídos em meados da décadarede
de 1990!
205 Surgiu a
preocupação de que as redes disponíveis fossem completamente atribuídas e algumas
organizações não conseguissem ligar-se à Internet.
206 CCNA 200-301 Official Cert Guide, Volume 2

A principal solução a longo prazo para o problema da escalabilidade dos endereços IPv4
era aumentar o tamanho do endereço IP. Este facto foi a razão mais convincente para o
advento da versão 6 do IP (IPv6). (A versão 5 foi definida muito antes, mas nunca foi
implementada, pelo que a tentativa seguinte foi designada por versão 6). O IPv6 utiliza um
endereço de 128 bits, em vez do endereço de 32 bits do IPv4. Com o mesmo processo ou
um processo melhorado de atribuição de intervalos de endereços únicos a cada organização
ligada à Internet, o IPv6 pode facilmente suportar todas as organizações e indivíduos do
planeta, com o número de endereços IPv6 a atingir teoricamente mais de 1038.
Foram sugeridas muitas soluções a curto prazo para o problema do endereçamento, mas
três normas funcionaram em conjunto para resolver o problema. Duas das normas
trabalham em estreita colaboração: Network Address Translation (NAT) e endereçamento
privado. Esses recursos juntos permitem que muitas organizações usem os mesmos
números de rede IPv4 não registrados internamente - e ainda se comuniquem bem com a
Internet. A terceira norma, CIDR (classless interdomain routing), permite que os ISPs
reduzam o desperdício de endereços IPv4, atribuindo a uma empresa um subconjunto de
um número de rede em vez de toda a rede. O CIDR também pode permitir que os ser-
Os fornecedores de serviços de Internet (ISP) resumem as rotas de modo a que várias redes
de classe A, B ou C correspondam a uma única rota, o que ajuda a reduzir o tamanho das
tabelas de encaminhamento da Internet.

NOTA Estas ferramentas têm funcionado bem. Estimativas no início da década de

1990 previam que o mundo ficaria sem endereços IPv4 em meados da década de 1990,
mas a IANA não esgotou o espaço de endereços IPv4 até fevereiro de 2011, e o ARIN
(o RIR para a América do Norte) não esgotou o seu fornecimento de endereços IPv4
públicos até setembro de 2015.

CIDR
O CIDR é uma convenção global de atribuição de endereços que define como a IANA
(Internet Assigned Numbers Authority), suas agências membros e ISPs devem atribuir o
espaço de endereços IPv4 globalmente exclusivo a organizações individuais.
O CIDR, definido na RFC 4632, tem dois objectivos principais. Em primeiro lugar, o CIDR
define uma forma de atribuir endereços IP públicos, a nível mundial, para permitir a
agregação ou resumo de rotas. Esses resumos de rotas reduzem muito o tamanho das tabelas
de roteamento nos roteadores da Internet.
A Figura 10-1 mostra um caso típico de agregação de rotas CIDR e como o CIDR pode
ser usado para substituir mais de 65.000 rotas por uma rota. Primeiro, imagine que o ISP 1 10
possui a classe
C 198.0.0.0 até 198.255.255.0-não por acidente, mas por um projeto intencional e
cuidadoso para tornar possível este exemplo de agregação de rotas. Por outras palavras, a
IANA atribuiu todos os endereços que começam por 198 a um dos cinco Registos
Regionais da Internet (RIR), e esse RIR atribuiu toda esta gama a um grande ISP nessa
parte do mundo.

Cliente A
ISP2 Para 198.8.3.0 /24
198._._._.
ISP1 Para 198._._._.
ISP3 Para 198._._._. 198.0.0.0 -
198.255.255.0 Figura 10-1 Utilização típica do

ISP4
CIDR Capítulo 10: T r aCliente
d u ç ãBo d e endereços de
rede 207 198.4.2.0 /24
198.4.3.0 /24

Cliente C
198.1.0.0 /24
208 CCNA 200-301 Official Cert Guide, Volume 2

A atribuição de todos os endereços que começam com 198 a um ISP permite que
outros ISPs usem uma rota - uma rota para 198.0.0.0/8 - para corresponder a todos
esses endereços, encaminhando pacotes para esses endereços para o ISP1. A Figura
10-1 mostra os ISPs à esquerda, cada um com uma rota para
198.0.0.0/8-em outras palavras, uma rota para todos os hosts cujo endereço IP começa com
198. Essa rota resumida corresponderá a pacotes enviados a todos os endereços nas 65.536
redes IP de classe C que começam com 198.
A segunda principal caraterística do CIDR permite que os RIRs e ISPs reduzam o desperdício
atribuindo um subconjunto de uma rede classful a um único cliente. Por e x e m p l o , imagine
que o cliente A do ISP1 precisa de apenas 10 endereços IP e que o cliente C precisa de 25
endereços IP. O ISP1 faz algo parecido com isto:
■ Atribuir ao cliente A o bloco CIDR 198.8.3.16/28, com 14 endereços atribuíveis
(198.8.3.17 a 198.8.3.30).
■ Atribuir ao cliente B o bloco CIDR 198.8.3.32/27, com 30 endereços atribuíveis
(198.8.3.33 a 198.8.3.62).

Estes blocos CIDR funcionam de forma muito semelhante a uma rede IP pública; em
particular, dão a cada empresa um conjunto consecutivo de endereços IPv4 públicos para
utilizar. O processo de atribuição de endereços públicos também tem muito menos
desperdício do que antes. De facto, a maioria das atribuições de endereços públicos nos
últimos 20 anos tem sido um bloco CIDR em vez de uma rede inteira de classe A, B ou C.

Endereçamento privado
Alguns computadores podem nunca estar ligados à Internet. Os endereços IP destes
computadores podem ser duplicados de endereços IP registados na Internet. Ao projetar a
convenção de endereçamento IP para tal rede, uma organização poderia escolher e usar
qualquer número de rede que quisesse, e tudo ficaria bem. Por exemplo, você pode comprar
alguns roteadores, conectá-los em seu escritório e configurar endereços IP na rede 1.0.0.0, e
tudo funcionará. Os endereços IP que utilizar podem ser duplicados de endereços IP reais na
Internet, mas se tudo o que quiser fazer é aprender no laboratório do seu escritório, tudo
ficará bem.
Ao construir uma rede privada que não terá conetividade com a Internet, pode utilizar
números de rede IP denominados redes internas privadas, conforme definido no RFC
1918, "Atribuição de endereços para redes internas privadas". Este RFC define um
conjunto de redes que nunca serão atribuídas a qualquer organização como um número de
rede registado. Em vez de utilizar os números de rede registados de outra pessoa, pode
utilizar números num intervalo que não é utilizado por mais ninguém na Internet pública.
A Tabela 10-2 mostra o espaço de endereços privados definido pela RFC 1918.

Tabela 10-2 Espaço de endereços privados RFC 1918

Gama de endereços IP Rede(s) Classe de Número
redes de redes
10.0.0.0 a 10.255.255.255 10.0.0.0 A 1
172.16.0.0 a 172.31.255.255 172.16.0.0 - 172.31.0.0 B 16
192.168.0.0 a 192.168.255.255 192.168.0.0 - 192.168.255.0 C 256

Por outras palavras, qualquer organização pode utilizar estes números de rede. No entanto,
nenhuma organização está autorizada a anunciar estas redes utilizando um protocolo de
encaminhamento na Internet.
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 209
Respostas ao questionário "Será que já sei isto?
1 D 2 B, E 3 C 4 A 5 A 6 A, C 7 B
210 CCNA 200-301 Official Cert Guide, Volume 2

A Tabela 10-3 resume esses recursos importantes que ajudaram a prolongar a vida útil do
IPv4 por décadas.

Tabela 10-3 Três funções importantes que prolongaram a vida útil do IPv4
Caracterís RFC(s) Principais benefícios
tica
CIDR* 4632 Atribuir blocos de endereços IPv4 públicos mais específicos às
empresas do que às redes de classe A, B e C.
Agregar rotas para endereços IPv4 públicos com base no plano
mundial de atribuição de endereços.
NAT* 3022 Permite que aproximadamente 65.000 sessões TCP/UDP sejam
suportadas por um único endereço IPv4 público.
Redes 1918 Permitir a utilização de NAT para ligações empresariais à Internet,
privadas com endereços privados utilizados dentro da empresa.

*O CIDR e o NAT podem ser mais conhecidos pelos seus RFC originais (1518, 1519 para o CIDR; 1631 para o NAT).

Conceitos de tradução de endereços de rede

A NAT, definida no RFC 3022, permite que um anfitrião que não tenha um endereço IP
válido, registado e globalmente único comunique com outros anfitriões através da
Internet. Os hosts podem estar a utilizar endereços privados ou endereços atribuídos a
outra organização. Em ambos os casos, a NAT permite que estes endereços que não
estão preparados para a Internet continuem a ser utilizados e ainda permite a
comunicação com anfitriões através da Internet.
O NAT atinge o seu objetivo utilizando um endereço IP registado válido para representar o
endereço privado para o resto da Internet. A função NAT altera os endereços IP privados
para endereços IP registados publicamente dentro de cada pacote IP, conforme mostrado
na Figura 10-2.

Client www.cisco.com
NAT
e
Privad Internet
o
10.1.1.1 170.1.1.1
Origem Destino Origem Destino
10.1.1.1 170.1.1.1 ........ 200.1.1.1 170.1.1.1 ........
10
Alterações NAT

Origem Destino Origem Destino

170.1.1.1 10.1.1.1 ........ 170.1.1.1 200.1.1.1 ........

Figura 10-2 Troca de endereços IP NAT: Endereçamento privado

Observe que o roteador, executando NAT, altera o endereço IP de origem do pacote
quando o pacote deixa a organização privada. O roteador que realiza o NAT também altera
o endereço de destino em cada pacote que é encaminhado de volta para a rede privada. (A
rede 200.1.1.0 é uma rede registada na Figura 10-2.) A funcionalidade NAT, configurada
no router com a designação NAT, efectua a tradução.
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 211
Este livro aborda a NAT de origem, que é o tipo de NAT que permite às empresas
utilizarem endereços privados e continuarem a comunicar com anfitriões na Internet. No
âmbito da NAT de origem, o Cisco IOS suporta várias formas diferentes de configurar a
NAT. As próximas páginas abordam os conceitos por trás de algumas dessas variações.

NAT estática
A NAT estática funciona exatamente como o exemplo mostrado na Figura 10-2, mas com
os endereços IP mapeados estaticamente entre si. Para ajudá-lo a entender as implicações
da NAT estática e explicar vários termos-chave, a Figura 10-3 mostra um exemplo
semelhante com mais informações.

10.1.1.1 Servid
or
Internet
NAT
10.1.1.2
170.1.1.1

SA = 10.1.1.1 SA = 200.1.1.1
Tabela NAT
Endereçoestática Endereço público
privado
10.1.1.1 Legend
10.1.1.2 200.1.1.1 a SA: Endereço de
200.1.1.2 origem

Figura 10-3 NAT estática mostrando endereços locais e globais internos

Primeiro, os conceitos: O ISP da empresa atribuiu-lhe a rede registada 200.1.1.0. Portanto,
o router NAT deve fazer com que os endereços IP privados pareçam estar na rede
200.1.1.0. Para o fazer, o router NAT altera os endereços IP de origem nos pacotes que vão
da esquerda para a direita na figura.
Neste exemplo, o router NAT altera o endereço de origem (SA na figura) de 10.1.1.1 para
200.1.1.1. Com a NAT estática, o router NAT configura simplesmente um mapeamento de
um para um entre o endereço privado e o endereço registado que é utilizado em seu nome.
O router NAT configurou estaticamente um mapeamento entre o endereço privado
10.1.1.1 e o endereço público registado 200.1.1.1.
O suporte a um segundo host IP com NAT estático requer um segundo mapeamento
estático de um para um usando um segundo endereço IP no intervalo de endereços
públicos. Por exemplo, para suportar 10.1.1.2, o router mapeia estaticamente 10.1.1.2 para
200.1.1.2. Como a empresa tem uma única rede Classe C registada, pode suportar no
máximo 254 endereços IP privados com NAT, com os dois números reservados habituais
(o número da rede e o endereço de difusão da rede).
A terminologia usada com NAT, particularmente com a configuração, pode ser um pouco
confusa. Observe na Figura 10-3 que a tabela NAT lista os endereços IP privados como
"privados" e os endereços públicos registrados da rede 200.1.1.0 como "públicos". A
Cisco usa o termo inside local para os endereços IP privados neste exemplo e inside
global para os endereços IP públicos.
212 CCNA 200-301 Official Cert Guide, Volume 2

Utilizando a terminologia NAT, a rede da empresa que utiliza endereços privados e, por
conseguinte, necessita de NAT, é a parte "interna" da rede. O lado da Internet da função
NAT é a parte "externa" da rede. Um host que precisa de NAT (como 10.1.1.1 no
exemplo)
tem o endereço IP que usa dentro da rede e precisa de um endereço IP para representá-lo na
rede externa. Assim, como o anfitrião precisa essencialmente de dois endereços diferentes
para o representar, são necessários dois termos. A Cisco chama o endereço IP privado usado
na rede interna de endereço local interno e o endereço usado para representar o host para o
resto da Internet de endereço global interno. A Figura 10-4 repete o mesmo exemplo, com
algumas das terminologias mostradas.

Interior Exterior
Servid
10.1.1.1
or
Internet
NAT
10.1.1.2
170.1.1.1

SA = 10.1.1.1 SA = 200.1.1.1

Dentro do local Por dentro do

10.1.1.1 mundo
200.1.1.1 Legenda
10.1.1.2 200.1.1.2 SA: Endereço de
origem

Figura 10-4 Terminologia da NAT estática

A NAT de origem altera apenas o endereço IP dos hosts internos. Por conseguinte, a tabela
NAT atual apresentada na Figura 10-4 mostra os endereços registados locais internos e os
endereços registados globais internos correspondentes. O termo local interno refere-se ao
endereço usado para o host dentro da empresa, o endereço usado localmente versus
globalmente, o que significa na empresa em vez de na Internet global. Por outro lado, o
termo inside global ainda se refere a um endereço usado para o host dentro da empresa,
mas é o endereço global usado enquanto o pacote flui pela Internet.
Observe que o recurso NAT chamado destination NAT, não abordado neste livro, usa
termos semelhantes outside local e outside global. No entanto, com o NAT de origem, um
dos termos, out side global, é usado. Esse termo se refere ao host que reside fora da
10
empresa. Como a NAT de origem não altera esse endereço, o termo outside global se
aplica a todo momento.
A Tabela 10-4 resume esses quatro termos semelhantes e refere-se aos endereços IPv4
usados como amostras nas três últimas figuras como exemplos.
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 213
Tabela 10-4 Termos de endereçamento NAT
Prazo Valores Significado
em
Números
No 10.1.1.1 Dentro: Refere-se à localização permanente do anfitrião, na perspetiva
local da empresa: está dentro da empresa.
Local: Significa não global; ou seja, local. É o endereço utilizado para
esse anfitrião enquanto o pacote flui na empresa local e não na Internet
global.
Alternativa: Pense nisto como "inside private", porque este endereço é
tipicamente um endereço privado.
Por 200.1.1.1 Interior: Refere-se à localização permanente do anfitrião, na
dentro perspetiva da empresa.
do Global: Significa global como na Internet global. É o endereço
mund utilizado para esse anfitrião enquanto o pacote flui na Internet.
o
Alternativa: Pense nisso como público interno, porque o
endereço é normalmente um endereço IPv4 público.
Fora do 170.1.1.1 Com a NAT de origem, o endereço utilizado pelo anfitrião que reside
mundo fora da empresa, que a NAT não altera, pelo que não há necessidade
de um termo contrastante.
Alternativa: Pense nele como público externo, porque o
endereço é normalmente um endereço IPv4 público.
Fora do - Este termo não é utilizado com a NAT de origem. Com a NAT de
local destino, o endereço representaria um host que reside fora da empresa,
mas o endereço usado para representar esse host quando os pacotes
passam pela empresa local.

NAT dinâmica
A NAT dinâmica tem algumas semelhanças e diferenças em relação à NAT estática. Tal como a
NAT estática, o router NAT cria um mapeamento de um para um entre um endereço local interno
e um endereço global interno e altera os endereços IP nos pacotes à medida que estes saem e
entram na rede interna. No entanto, o mapeamento de um endereço local interno para um
endereço global interno ocorre dinamicamente.
O NAT dinâmico configura um pool de possíveis endereços globais internos e define critérios
de correspondência para determinar quais endereços IP locais internos devem ser traduzidos
com o NAT. Por exemplo, na Figura 10-5, um conjunto de cinco endereços IP globais internos
foi estabelecido: 200.1.1.1 a 200.1.1.5. O NAT também foi configurado para traduzir qualquer
endereço local interno que comece com 10.1.1.
214 CCNA 200-301 Official Cert Guide, Volume 2

1 SA = 10.1.1.1 4 SA = 200.1.1.1

Interior Exterior
Servid
10.1.1.1
or
Internet
NAT
10.1.1.2
170.1.1.1

Tabela NAT antes do primeiro

pacote
Critérios para a Dentro do Por dentro do
local mundo Piscina NAT:
NAT:
200.1.1.1
10.1.1.
3 200.1.1.2
2 200.1.1.3
Tabelado
Dentro NAT após o dentro
Por primeiro
do 200.1.1.4
local
pacote mundo 200.1.1.5
10.1.1.1 200.1.1.1
Figura 10-5 NAT dinâmica
Os números 1, 2, 3 e 4 na figura referem-se à seguinte sequência de eventos:
1. O anfitrião 10.1.1.1 envia o seu primeiro pacote para o servidor em 170.1.1.1.
2. Quando o pacote entra no roteador NAT, o roteador aplica alguma lógica de
correspondência para decidir se o pacote deve ter NAT aplicado. Como a lógica foi
calculada para corresponder aos endereços IP de origem que começam com 10.1.1, o
roteador adiciona uma entrada na tabela NAT para 10.1.1.1 como um endereço local
interno.
3. O roteador NAT precisa alocar um endereço IP do conjunto de endereços globais
internos válidos. Ele escolhe o primeiro disponível (200.1.1.1, neste caso) e o adiciona
à tabela NAT para completar a entrada.
4. O router NAT traduz o endereço IP de origem e reencaminha o pacote.
A entrada dinâmica permanece na tabela enquanto o tráfego fluir ocasionalmente. Pode
configurar um valor de tempo limite que define quanto tempo o router deve esperar, sem ter
traduzido quaisquer pacotes com esse endereço, antes de remover a entrada dinâmica.
Também é possível limpar manualmente as entradas dinâmicas da tabela utilizando o 10
comando clear ip nat translation *.
O NAT pode ser configurado com mais endereços IP na lista de endereços locais internos
do que no pool de endereços globais internos. O roteador aloca endereços do pool até que
todos estejam alocados. Se um novo pacote chegar de outro host interno e precisar de uma
entrada NAT, mas todos os endereços IP do pool estiverem em uso, o roteador
simplesmente descartará o pacote. O utilizador tem de tentar novamente até que uma
entrada NAT se esgote, altura em que a função NAT funciona para o próximo anfitrião que
enviar um pacote. Essencialmente, o pool global interno de endereços precisa ser tão grande
quanto o número máximo de hosts simultâneos que precisam usar a Internet ao mesmo
tempo - a menos que você use PAT, como será explicado na próxima seção.

Sobrecarregando NAT com Tradução de Endereço de Porta

Algumas redes precisam que a maioria, se não todos, os hosts IP cheguem à Internet. Se
essa rede utilizar endereços IP privados, o router NAT necessita de um conjunto muito
grande de endereços IP registados. Com a NAT estática, para cada anfitrião IP privado que
necessite de acesso à Internet, é necessário um endereçoCapítulo 10: Tpublicamente,
IP registado r a d u ç ã o doe que
endereços de
anula completamente o objetivo de reduzir o número derede 215 IPv4 públicos
endereços
216 CCNA 200-301 Official Cert Guide, Volume 2

endereços necessários para essa organização. A NAT dinâmica diminui o problema até
certo ponto, porque cada host de uma rede de Internet raramente precisa de comunicar com
a Internet ao mesmo tempo. No entanto, se uma grande percentagem dos anfitriões IP de
uma rede necessitar de acesso à Internet durante o horário normal de funcionamento da
empresa, a NAT continua a exigir um grande número de endereços IP registados, não
conseguindo, mais uma vez, reduzir o consumo de endereços IPv4.
O recurso de Sobrecarga NAT, também chamado de Tradução de Endereço de Porta (PAT),
resolve esse problema. A sobrecarga permite que o NAT seja dimensionado para suportar
muitos clientes com apenas alguns endereços IP públicos.
A chave para entender como a sobrecarga funciona é lembrar como os hosts usam as
portas TCP e User Datagram Protocol (UDP). Para ver por que, primeiro considere a
idéia de três conexões TCP separadas para um servidor Web, de três hosts diferentes,
como mostrado na Figura 10-6.

10.1.1.1 10.1.1.1 , Porto 49724 170.1.1.1, Porta

80 Servidor

10.1.1.2 10.1.1.2 , Porto 49724 170.1.1.1, Porta

80
170.1.1.1
10.1.1.3
10.1.1.3 , Porto 49733 170.1.1.1, Porta
80

Figura 10-6 Três ligações TCP de três PCs

Em seguida, compare essas três conexões TCP na Figura 10-6 com três conexões TCP
semelhantes, agora com todas as três conexões TCP de um cliente, como mostrado na
Figura 10-7. O servidor percebe uma diferença porque vê o endereço IP e o número da
porta TCP usados pelos clientes em ambas as figuras. No entanto, o servidor realmente não
se importa se as conexões TCP vêm de hosts diferentes ou do mesmo host; o servidor
apenas envia e recebe dados em cada conexão.

200.1.1.2, Porto 49724 170.1.1.1, Porto

Servidor
80
200.1.1.2
200.1.1.2, Porto 49725 170.1.1.1, Porto
80

200.1.1.2, Porto 49726 170.1.1.1, Porto 80 170.1.1.1

Figura 10-7 Três ligações TCP a partir de um PC
O NAT tira partido do facto de, do ponto de vista da camada de transporte, o servidor não
se importar se tem uma ligação a três anfitriões diferentes ou três ligações a
um único endereço IP de host. A sobrecarga NAT (PAT) traduz não apenas o endereço,
mas o número da porta quando necessário, fazendo com que o que parece ser muitos fluxos
TCP ou UDP de diferentes hosts pareça o mesmo número de fluxos de um host. A Figura
10-8 descreve a lógica.
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 217
10.1.1.1
10.1.1.1 , Porto 200.1.1.2, Porto 49724 170.1.1.1, Porto
49724 80
10.1.1.2 Servidor

10.1.1.2 , Porto 200.1.1.2, Porto 49725 170.1.1.1, Porto

49724 80
NAT

10.1.1.3 170.1.1.1
10.1.1.3 , Porto 49733 200.1.1.2, Porto 49726 170.1.1.1, Porto 80

Dentro do local Por dentro do

mundo
10.1.1.1: 49724 200.1.1.2: 49724
10.1.1.2: 49724 200.1.1.2: 49725
10.1.1.3: 49733 200.1.1.2: 49726
Tabela NAT dinâmica, com sobrecarga
Figura 10-8 Sobrecarga NAT (PAT)
Quando o PAT cria o mapeamento dinâmico, ele seleciona não apenas um endereço IP
global interno, mas também um número de porta exclusivo para usar com esse endereço. O
router NAT mantém uma entrada na tabela NAT para cada combinação única de endereço
IP local interno e porta, com tradução
para o endereço global interno e um número de porta exclusivo associado ao endereço
global interno. E como o campo de número de porta tem 16 bits, a sobrecarga NAT pode
usar mais de 65.000 números de porta, o que permite escalar bem sem precisar de muitos
endereços IP registrados - em muitos casos, precisando apenas de um endereço IP global
interno.
Dos três tipos de NAT abordados neste capítulo até agora, PAT é de longe a opção mais
popular. Tanto a NAT estática quanto a NAT dinâmica requerem um mapeamento de um para
um do endereço local interno para o endereço global interno. A PAT reduz significativamente
o número de endereços IP registrados necessários em comparação com essas outras
alternativas de NAT.

Configuração e resolução de problemas de NAT

As secções seguintes descrevem como configurar as três variações mais comuns de NAT:
NAT estática, NAT dinâmica e PAT, juntamente com os comandos show e debug
utilizados para resolver problemas de NAT. 10

Configuração de NAT estática

A configuração NAT estática requer apenas alguns passos de configuração. Cada
mapeamento estático entre um endereço local (privado) e um endereço global (público)
deve ser configurado. Além disso, como o NAT pode ser usado em um subconjunto de
interfaces, o roteador deve ser informado em quais interfaces ele deve usar o NAT. Esses
mesmos subcomandos de interface dizem ao NAT se a interface é interna ou externa. Os
passos específicos são os seguintes:

Lista de Passo 1. Utilize o comando ip nat inside no modo de configuração de interface para
verificação
de
configurar as interfaces para estarem na parte interna do design NAT.
configuraç
ão Passo 2. Utilize o comando ip nat outside no modo de configuração de interface para
218 CCNA 200-301 Official configurar
Cert Guide,asVolume 2 para estarem na parte externa do design NAT.
interfaces
Passo 3. Utilize o comando ip nat inside source static inside-local inside-global
no modo de configuração global para configurar os mapeamentos
estáticos.
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 219
A Figura 10-9 mostra a rede familiar usada na descrição do NAT estático anteriormente
neste capítulo, que também é usada para os primeiros exemplos de configuração. Na Figura
10-9, você pode ver que a Certskills obteve a rede Classe C 200.1.1.0 como um número de
rede registrado. Toda essa rede, com máscara 255.255.255.0, está configurada no link serial
entre a Certskills e a Internet. Com um link serial ponto-a-ponto, apenas dois dos 254
endereços IP válidos nessa rede são consumidos, deixando 252 endereços.

Certskills 200.1.1.251
200.1.1.252
10.1.1.1
Servidor

Internet
G0/0 NAT S0/0/0 R1 R2
170.1.1.1

10.1.1.2
Exterior
Interior
Configuração de NAT estática
Dentro do Por dentro do
local mundo
10.1.1.1 200.1.1.1
10.1.1.2 200.1.1.2
Figura 10-9 Amostra de rede para exemplos de NAT, com classe pública C 200.1.1.0/24
Ao planejar uma configuração NAT, é necessário encontrar alguns endereços IP para usar
como endereços IP globais internos. Como esses endereços devem fazer parte de algum
intervalo de endereços IP registrados, é comum usar os endereços extras na sub-rede que
conecta a empresa à Internet - por exemplo, os 252 endereços IP extras na rede 200.1.1.0
neste caso. O router também pode ser configurado com uma interface de loopback e ser-
lhe atribuído um endereço IP que faça parte de um intervalo globalmente único de
endereços IP registados.
O Exemplo 10-1 lista a configuração NAT, usando 200.1.1.1 e 200.1.1.2 para os dois
mapeamentos NAT estáticos.
Exemplo 10-1 Configuração de NAT estática
NAT# show running-config
!
! Linhas omitidas por brevidade
!
interface GigabitEthernet0/0
endereço ip 10.1.1.3
255.255.255.0 ip nat inside
!
interface Serial0/0/0
endereço ip 200.1.1.251 255.255.255.0
ip nat outside
!
ip nat inside source static 10.1.1.2 200.1.1.2
ip nat inside source static 10.1.1.1 200.1.1.1

NAT# show ip nat translations

Pro Dentro globalDentro Fora do local Fora do mundo
local
220 CCNA 200-301 Official Cert Guide, Volume 2

--- 200.1.1.1 10.1.1.1 --- ---

--- 200.1.1.2 10.1.1.2 --- ---

NAT# show ip nat statistics

Total de traduções activas: 2 (2 estáticas, 0 dinâmicas; 0 alargadas)
Interfaces exteriores:
Serial0/0/0
Interfaces
internas:
GigabitEthernet0/0
Hits: 100 Misses: 0
Traduções expiradas: 0
Mapeamentos dinâmicos:
Os mapeamentos estáticos são criados usando o comando ip nat inside source static. A
palavra-chave inside significa que o NAT traduz endereços para hosts na parte interna da
rede. A palavra-chave source significa que o NAT traduz o endereço IP de origem dos
pacotes que chegam às suas interfaces internas. A palavra-chave static significa que os
parâmetros definem uma entrada estática, que nunca deve ser removida da tabela NAT por
causa de timeout. Como o projeto exige que dois hosts - 10.1.1.1 e 10.1.1.2 - tenham acesso
à Internet, são necessários dois comandos ip nat inside.
Depois de criar as entradas NAT estáticas, o roteador precisa saber quais interfaces estão
"dentro" e quais estão "fora". Os subcomandos ip nat inside e ip nat outside interface
identificam cada interface adequadamente.
Alguns comandos show listam as informações mais importantes sobre NAT. O comando
show ip nat translations lista as duas entradas NAT estáticas criadas na configuração. O
comando show ip nat statistics lista as estatísticas, listando coisas como o número de
entradas da tabela de tradução atualmente ativas. As estatísticas também incluem o número
de hits, que aumenta para cada pacote para o qual o NAT deve traduzir endereços.

Configuração NAT dinâmica

Como você pode imaginar, a configuração de NAT dinâmico difere em alguns aspectos do
NAT estático, mas também possui algumas similaridades. A NAT dinâmica ainda requer 10
que cada interface seja identificada como uma interface interna ou externa, e é claro que o
mapeamento estático não é mais necessário. A NAT dinâmica usa uma lista de controle de
acesso (ACL) para identificar quais endereços IP locais internos (pri- vados) precisam ter
seus endereços traduzidos, e define um grupo de endereços IP públicos registrados para
alocar. As etapas específicas são as seguintes:
Lista de Passo 1. Utilize o comando ip nat inside no modo de configuração de interface para
verificação
de configurar as interfaces para estarem na parte interna do design NAT (tal
configuraç
ão
como acontece com o NAT estático).
Passo 2. Use o comando ip nat outside no modo de configuração de interface para
configurar as interfaces para estarem na parte externa do design NAT (assim
como no NAT estático).
Passo 3. Configure uma ACL que corresponda aos pacotes que entram nas
interfaces internas para as quais o NAT deve ser realizado.
Passo 4. Utilize o comando ip nat pool name first-address last-address netmask
subnet-mask no modo de configuração global para configurar o conjunto de
endereços IP públicos registados.
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 221
Passo 5. Use o comando ip nat inside source list acl-number pool pool-name no
modo de configuração global para ativar o NAT dinâmico. Observe que o
comando faz referência à ACL (etapa 3) e ao pool (etapa 4) de acordo com as
etapas anteriores.

O próximo exemplo mostra uma amostra de configuração NAT dinâmica usando a mesma
topologia de rede do exemplo anterior (veja a Figura 10-9). Neste caso, os mesmos dois
endereços locais internos - 10.1.1.1 e 10.1.1.2 - precisam de tradução. No entanto, ao
contrário do exemplo anterior de NAT estático, a configuração no Exemplo 10-2 coloca os
endereços IP públicos (200.1.1.1 e 200.1.1.2) em um pool de endereços globais internos
atribuíveis dinamicamente.
Exemplo 10-2 Configuração de NAT dinâmica
NAT# show running-config
!
! Linhas omitidas por brevidade
!
interface GigabitEthernet0/0
endereço ip 10.1.1.3 255.255.255.0
ip nat inside
!
interface Serial0/0/0
endereço ip 200.1.1.251 255.255.255.0
ip nat outside
!
ip nat pool fred 200.1.1.1 200.1.1.2 netmask 255.255.255.252
ip nat inside source list 1 pool fred
!
access-list 1 permit 10.1.1.2
access-list 1 permit 10.1.1.1

O Dynamic NAT configura o pool de endereços públicos (globais) com o comando ip nat
pool listando o primeiro e o último números em um intervalo inclusivo de endereços
globais internos. Por exemplo, se o pool precisasse de 10 endereços, o comando poderia
listar 200.1.1.1 e 200.1.1.10, o que significa que o NAT pode usar de 200.1.1.1 a
200.1.1.10.
O Dynamic NAT também executa uma verificação no comando ip nat pool com o
parâmetro de máscara de rede necessário. Se o intervalo de endereços não estiver na
mesma sub-rede, assumindo que a máscara de rede configurada foi usada nos endereços
do intervalo configurado, o IOS rejeitará o comando ip nat pool. Por exemplo, conforme
configurado com o limite inferior de 200.1.1.1, o limite superior de 200.1.1.2 e uma
máscara de 255.255.255.252, o IOS usaria as seguintes verificações para garantir que
ambos os cálculos colocassem 200.1.1.1 e 200.1.1.2 na mesma sub-rede:
■ 200.1.1.1 com máscara 255.255.255.252 implica a sub-rede 200.1.1.0, endereço de difusão 200.1.1.3.
■ 200.1.1.2 com máscara 255.255.255.252 implica a sub-rede 200.1.1.0, endereço de difusão 200.1.1.3.

Se o comando tivesse mostrado os valores de limite inferior e superior de 200.1.1.1 e

200.1.1.6, novamente com a máscara 255.255.255.252, o IOS rejeitaria o comando. O IOS
222 CCNA 200-301 Official Cert Guide, Volume 2
faria o cálculo descrito na lista a seguir, percebendo que os números estavam em sub-redes
diferentes:
■ 200.1.1.1 com máscara 255.255.255.252 implica a sub-rede 200.1.1.0, endereço de difusão 200.1.1.3.
■ 200.1.1.6 com máscara 255.255.255.252 implica a sub-rede 200.1.1.4, endereço de difusão 200.1.1.7.
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 223
Uma outra grande diferença entre a configuração de NAT dinâmico e NAT estático no
Exemplo 10-1 tem a ver com duas opções no comando ip nat inside source. A versão
NAT dinâmica deste comando refere-se ao nome do pool NAT que ele quer usar para
endereços globais internos - neste caso, fred. Ela também se refere a uma ACL IP, que
define a lógica de correspondência para endereços IP locais internos. Portanto, a lógica
para o comando ip nat inside source list 1 pool fred neste exemplo é a seguinte:
Crie entradas na tabela NAT que mapeiam entre os hosts correspondentes à ACL 1, para
pacotes que entram em qualquer interface interna, alocando um endereço global interno
do pool chamado fred.

Verificação de NAT dinâmica

Os exemplos 10-3 e 10-4 mostram a evidência de que o NAT dinâmico começa sem
entradas na tabela NAT, mas o router reage depois de o tráfego do utilizador conduzir
corretamente a função NAT.
Exemplo 10-3 mostra a saída dos comandos show ip nat translations e show ip nat statistics
antes que qualquer usuário gere tráfego que faça o NAT t r a b a l h a r . O comando show ip nat
translations, que lista as entradas da tabela NAT, lista uma linha em branco; o comando show
ip nat statistics, que mostra quantas vezes o NAT criou uma entrada na tabela NAT, mostra 0
traduções ativas.
Exemplo 10-3 Verificações de NAT dinâmica antes de gerar tráfego
! O comando seguinte lista uma linha vazia porque nenhuma entrada foi dinamicamente
! criado ainda.
NAT# show ip nat translations

NAT# show ip nat statistics

Total de traduções activas: 0 (0 estáticas, 0 dinâmicas; 0 alargadas)
Pico de traduções: 8, ocorreu há 00:02:44 atrás
Interfaces externas:
Serial0/0/0
Interfaces
internas:
GigabitEthernet0/0 10
Hits: 0 Misses: 0
CEF Pacotes traduzidos: 0, CEF Pacotes punidos: 0
Traduções expiradas: 0
Mapeamentos dinâmicos:
-- Fonte interna
[id 1] access-list 1 pool fred refcount 0
pool fred: netmask 255.255.255.252
início 200.1.1.1 fim 200.1.1.2
tipo genérico, total de endereços 2, atribuído 0 (0%), falha 0

Total de portas: 0
Portas de aplicação: 0
Portas normais: 0
Pacotes em fila de espera: 0
224 CCNA 200-301 Official Cert Guide, Volume 2
O comando show ip nat statistics no final do exemplo lista algumas informações de
solução de problemas particularmente interessantes com dois contadores diferentes
rotulados como "misses", como
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 225
destacado no exemplo. A primeira ocorrência deste contador conta o número de vezes que
um novo pacote chega, precisando de uma entrada NAT, e não encontra uma. Nesse
momento, a NAT dinâmica reage e constrói uma entrada. O segundo contador de misses
no final da saída do comando lista o número de misses no pool. Este contador aumenta
apenas quando a NAT dinâmica tenta alocar uma nova entrada na tabela NAT e não
encontra endereços disponíveis,
por isso o pacote não pode ser traduzido - provavelmente resultando na impossibilidade de
um utilizador final aceder à aplicação.
A seguir, o Exemplo 10-4 actualiza a saída de ambos os comandos após o utilizador do anfitrião em
10.1.1.1 telnets para o anfitrião 170.1.1.1.
Exemplo 10-4 Verificações de NAT dinâmica após gerar tráfego
NAT# show ip nat translations
Pro Dentro globalDentro Fora do local Fora do mundo
local
--- ---
--- 200.1.1.1 10.1.1.1

NAT# show ip nat statistics

Total de traduções activas: 1 (0 estáticas, 1 dinâmicas; 0
alargadas)
Pico de traduções: 11, ocorreu 00:04:32 atrás
Interfaces externas:
Serial0/0/0
Interfaces
internas:
GigabitEthernet0/0
Acertos: 69 Falhas: 1
Traduções expiradas: 0
Mapeamentos dinâmicos:
-- Fonte interna
access-list 1 pool fred refcount 1
[eml fred: netmask 255.255.255.252
início 200.1.1.1 fim 200.1.1.2
tipo genérico, total de endereços 2, atribuído 1 (50%), falha
0

O exemplo começa com o host 10.1.1.1 fazendo telnet para 170.1.1.1 (não mostrado), com
o roteador NAT criando uma entrada NAT. A tabela NAT mostra uma única entrada,
mapeando 10.1.1.1 para
200.1.1.1. E, a primeira linha na saída do comando show ip nat statistics lista um contador
para 1 tradução ativa, como mostrado na tabela NAT no topo do exemplo.
Tome um momento extra para considerar a linha destacada, onde o comando show ip nat
statistics lista 1 miss e 69 hits. O primeiro contador de miss, agora em 1, significa que
chegou um pacote que precisava de NAT, mas não havia entrada na tabela NAT. O NAT
reagiu e adicionou uma entrada na tabela NAT, então o contador de acertos de 69 significa
que os próximos 69 pacotes usaram a nova entrada da tabela NAT adicionada. O segundo
contador de misses, ainda em 0, não foi incrementado porque o pool NAT tinha endereços
IP globais internos suficientes para usar na alocação da nova entrada da tabela NAT. Note
também que a última linha lista estatísticas sobre o número de membros do pool alocados
(1) e a porcentagem do pool atualmente em uso (50%).
226 CCNA 200-301 Official Cert Guide, Volume 2
As entradas da tabela NAT dinâmica atingem o tempo limite após um período de
inatividade, colocando esses endereços globais internos de volta no pool para uso futuro. O
Exemplo 10-5 mostra uma seqüência na qual dois hosts diferentes utilizam o endereço
global interno 200.1.1.1. O host 10.1.1.1 usa o endereço global interno 200.1.1.1 no início
do exemplo. Em seguida, em vez de apenas esperar pelo
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 227
Para que a entrada NAT não tenha tempo limite, o exemplo limpa a entrada da tabela NAT
com o comando clear ip nat translation *. Nesse momento, o usuário em 10.1.1.2 se
conecta a 170.1.1.1, e a nova entrada da tabela NAT aparece, usando o mesmo endereço
global interno 200.1.1.1.
Exemplo 10-5 Exemplo de reutilização de um endereço IP global interno dinâmico
! O anfitrião 10.1.1.1 utiliza atualmente o interior
global 200.1.1.1
NAT# show ip nat translations
Pro Dentro globalDentro Fora do local Fora do mundo
local
--- 200.1.1.1 10.1.1.1 --- ---
NAT# clear ip nat translation *

!
! telnet de 10.1.1.2 para 170.1.1.1 aconteceu a seguir; não
mostrado
!
! Agora, o anfitrião 10.1.1.2 usa dentro do global 200.1.1.1

NAT# show ip nat translations

Pro Inside global No local Fora do local Fora do mundo
--- 200.1.1.1 10.1.1.2 --- ---
!
! Telnet de 10.1.1.1 para 170.1.1.1 aconteceu a seguir; não mostrado
!
NAT# debug ip nat
A depuração de IP NAT está activada

Oct 20 19:23:03.263: NAT*: s=10.1.1.1->200.1.1.2, d=170.1.1.1 [348]

Oct 20 19:23:03.267: NAT*: s=170.1.1.1, d=200.1.1.2->10.1.1.1 [348]
Oct 20 19:23:03.464: NAT*: s=10.1.1.1->200.1.1.2, d=170.1.1.1 [349]
Oct 20 19:23:03.568: NAT*: s=170.1.1.1, d=200.1.1.2->10.1.1.1 [349]

Finalmente, no final do Exemplo 10-5, você vê que o host 10.1.1.1 fez telnet para outro
O roteador pode ser usado para verificar o endereço do host na Internet, além da saída do
comando debug ip nat. Esse comando de depuração faz com que o roteador emita uma 10
mensagem sempre que um pacote tiver seu endereço traduzido para NAT. Os resultados de
saída são gerados digitando algumas linhas da conexão Telnet de
10.1.1.1 para 170.1.1.1. A saída de depuração informa que o host 10.1.1.1 agora usa o
endereço global interno 200.1.1.2 para essa nova conexão.

Configuração de sobrecarga NAT (PAT)

As configurações de NAT estático e dinâmico são importantes, mas a configuração de
sobrecarga de NAT (PAT) nesta secção é mais importante. Esse é o recurso que salva os
endereços IPv4 públicos e prolonga a vida do IPv4.
A sobrecarga NAT, como mencionado anteriormente, permite que a NAT suporte muitos
endereços IP locais internos com apenas um ou alguns endereços IP globais internos. Ao
traduzir essencialmente o endereço IP privado e o número da porta para um único endereço
global interno, mas com um número de porta único, a NAT pode suportar muitos (mais de
65.000) hosts privados com apenas um único endereço público global.
228 CCNA 200-301 Official Cert Guide, Volume 2

Existem duas variações de configuração do PAT no IOS. Se a PAT utiliza um conjunto de

endereços globais internos, a configuração é exatamente igual à NAT dinâmica, exceto o
comando global ip nat inside source list que tem uma palavra-chave de sobrecarga
adicionada ao fim. Se a PAT só precisar de utilizar um endereço IP global interno, o
router pode utilizar um dos seus endereços IP de interface.
Como o NAT pode suportar mais de 65.000 fluxos simultâneos com um único endereço global
interno, um único endereço IP público pode suportar as necessidades de NAT de uma
organização inteira.
A declaração a seguir detalha a diferença de configuração entre sobrecarga NAT e NAT
1:1 ao usar um pool NAT:
Utilize os mesmos passos para configurar a NAT dinâmica, conforme descrito na secção
anterior, mas inclua a palavra-chave overload no final do comando global ip nat inside
source list.
A lista de verificação seguinte descreve em pormenor a configuração quando se utiliza um
endereço IP de interface como o único endereço IP global interno:
Lista de Passo 1. Tal como acontece com o NAT dinâmico e estático, configure o subcomando
verificação
de ip nat inside interface para identificar as interfaces internas.
configuraç
ão Passo 2. Tal como acontece com a NAT dinâmica e estática, configure o comando
ip nat outside interface sub- para identificar as interfaces externas.
Passo 3. Assim como no NAT dinâmico, configure uma ACL que corresponda aos
pacotes que entram nas interfaces internas.
Passo 4. Configure o comando de configuração global ip nat inside source list acl-
number interface type/number overload, referindo-se à ACL criada no passo
3 e à interface cujo endereço IP será utilizado para as traduções.

O Exemplo 10-2 demonstrou uma configuração NAT dinâmica. Para convertê-la em uma
configuração PAT, você usaria o comando ip nat inside source list 1 pool fred overload,
simplesmente adicionando a palavra-chave overload.
O exemplo seguinte mostra a configuração PAT utilizando um único endereço IP de interface. Figura
10-10 mostra a mesma rede familiar, com algumas alterações. Neste caso, o ISP forneceu à
Certskills um subconjunto da rede 200.1.1.0: Sub-rede CIDR 200.1.1.248/30. Em outras
palavras, essa sub-rede tem dois endereços utilizáveis: 200.1.1.249 e 200.1.1.250. Esses
endereços são usados em ambas as extremidades do link serial entre a Certskills e seu ISP.
O recurso NAT no roteador da Certskills traduz todos os endereços NAT para seu endereço
IP serial, 200.1.1.249.

Certskills 200.1.1.249
200.1.1.250
10.1.1.1
Servidor

Internet
G0/0 NAT S0/0/0 R1 R2
170.1.1.1

10.1.1.2
Exterior
Interior
Tabela NAT (Sobrecarga)
Dentro do local Por dentro do
mundo
10.1.1.1: 49712 200.1.1.249: 49712
 10.1.1.2: 49713 200.1.1.249: 49713 Capítulo 10: T r a d u ç ã o d e endereços de
10.1.1.2: 49913 200.1.1.249: 49913 rede 229
Figura 10-10 Sobrecarga de NAT e PAT
230 CCNA 200-301 Official Cert Guide, Volume 2

No Exemplo 10-6, que mostra a configuração de sobrecarga NAT, o NAT traduz usando
apenas o endereço global interno 200.1.1.249, portanto o pool NAT não é necessário. No
exemplo, o host
10.1.1.2 cria duas ligações Telnet e o anfitrião 10.1.1.1 cria uma ligação Telnet,
originando três entradas NAT dinâmicas, cada uma utilizando o endereço global interno
200.1.1.249, mas cada uma com um número de porta único.
Exemplo 10-6 Configuração de sobrecarga NAT
NAT# show running-config
!
! Linhas omitidas por brevidade
!
interface GigabitEthernet0/0
endereço ip 10.1.1.3 255.255.255.0
ip nat inside
!
interface Serial0/0/0
endereço ip 200.1.1.249 255.255.255.252
ip nat outside
!
ip nat inside source list 1 interface Serial0/0/0 overload
!
access-list 1 permit 10.1.1.2
access-list 1 permit 10.1.1.1
!

NAT# show ip nat translations

Pro Dentro globalDentro Fora do local Fora do mundo
local
tcp 200.1.1.249:49712 10.1.1.1:49712 170.1.1.1:23 170.1.1.1:23
tcp 200.1.1.249:49713 10.1.1.2:49713 170.1.1.1:23 170.1.1.1:23
tcp 200.1.1.249:49913 10.1.1.2:49913 170.1.1.1:23 170.1.1.1:23
NAT# show ip nat statistics
Total de traduções activas: 3 (0 estáticas, 3 dinâmicas; 3 10
alargadas) Pico de traduções: 12, ocorreu 00:01:11 atrás
Interfaces externas:
Serial0/0/0
Interfaces internas:
GigabitEthernet0/0
Acertos: 103 Erros: 3
Traduções expiradas: 0
Mapeamentos dinâmicos:
-- Fonte interna
access-list 1 interface Serial0/0/0 refcount 3

O comando ip nat inside source list 1 interface serial 0/0/0 overload tem vários
parâmetros, mas se você entende a configuração NAT dinâmica, os novos parâmetros
não devem ser muito difíceis de entender. O parâmetro list 1 significa a mesma coisa
que para
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 231
NAT dinâmica: os endereços IP locais internos que correspondem à ACL 1 têm os seus
endereços traduzidos. O parâmetro interface serial 0/0/0 significa que o único endereço IP
global interno disponível é o endereço IP da interface serial 0/0/0 do roteador NAT.
Finalmente, o parâmetro overload significa que a sobrecarga está activada. Sem este
parâmetro, o router não efectua sobrecarga, apenas NAT dinâmica.
Como você pode ver na saída do comando show ip nat translations, três traduções foram
adicionadas à tabela NAT. Antes deste comando, o host 10.1.1.1 cria uma conexão Telnet
para 170.1.1.1, e o host 10.1.1.2 cria duas conexões Telnet. O roteador cria uma entrada na
tabela NAT para cada combinação única de endereço IP local interno e porta.

Resolução de problemas de NAT

A maioria dos problemas de solução de problemas de NAT está relacionada à configuração
correta. O Source NAT tem várias opções de configuração - estática, dinâmica, PAT - com vários
comandos de configuração para cada uma delas. Você deve trabalhar duro para desenvolver
habilidades com a configuração para que possa reconhecer rapidamente os erros de
configuração. A lista de verificação de solução de problemas a seguir resume os problemas
mais comuns do NAT de origem, a maioria dos quais está relacionada à configuração
incorreta.
■ Invertido dentro e fora: Certifique-se de que a configuração inclui os subcomandos ip
nat inside e ip nat outside da interface e que os comandos não estão invertidos (o
comando ip nat inside nas interfaces externas e vice-versa). Com o NAT de origem,
apenas a interface interna aciona o IOS para adicionar novas traduções, portanto,
designar as interfaces internas corretas é particularmente importante.
■ NAT estático: verifique o comando ip nat inside source static para garantir que lista
primeiro o endereço local interno e, em seguida, o endereço IP global interno.
■ NAT dinâmica (ACL): Certifique-se de que a ACL configurada para corresponder
aos pacotes enviados pelos hosts internos corresponda aos pacotes desse host antes
que qualquer tradução NAT tenha ocorrido. Por exemplo, se um endereço local
interno de 10.1.1.1 deve ser traduzido para 200.1.1.1, certifique-se de que a ACL
corresponda ao endereço de origem 10.1.1.1, e não 200.1.1.1.
■ NAT dinâmica (pool): Para a NAT dinâmica sem PAT, certifique-se de que o pool
tem endereços IP suficientes. Quando não se usa PAT, cada host interno consome um
endereço IP do pool. Um valor grande ou crescente no contador de segundas faltas na
saída do comando show ip nat statistics pode indicar esse problema. Além disso,
compare o pool configurado com a lista de endereços na tabela de tradução NAT (show
ip nat translations). Finalmente, se o pool for pequeno, o problema pode ser que a
configuração pretendia usar PAT e está faltando a palavra-chave overload (veja o
próximo item).
■ PAT: É fácil esquecer de adicionar a opção de sobrecarga no final do comando ip nat
inside source list. A configuração PAT é idêntica a uma configuração NAT dinâmica
válida, exceto pelo fato de que PAT requer a palavra-chave overload. Sem ela, o NAT
dinâmico funciona, mas o pool de endereços é consumido muito rapidamente. O
roteador NAT não traduzirá nem encaminhará o tráfego para os hosts se não houver um
endereço IP de pool disponível para seu tráfego, de modo que alguns hosts sofrerão uma
interrupção.
■ ACL: Como mencionado no Capítulo 3, "Listas de Controle de Acesso IPv4
Avançadas", é sempre possível adicionar uma verificação para ACLs que causam um
problema. Talvez o NAT tenha sido configurado corretamente, mas existe uma ACL em
232 CCNA 200-301 Official Cert Guide, Volume 2
uma das interfaces, descartando os pacotes. Note que a ordem das operações dentro do
roteador é importante neste caso. Para os pacotes que entram numa interface, o IOS
processa as ACLs antes do NAT. Para os pacotes que saem de uma interface, o IOS
processa qualquer ACL de saída depois de traduzir os endereços com NAT.
 Capítulo 10: T r a d u ç ã o d e endereços de
rede 233
■ É necessário tráfego de utilizadores: A NAT reage ao tráfego de utilizadores. Se
configurar o NAT num laboratório, o NAT não actua para criar traduções (mostrar
traduções ip nat) até que algum tráfego de utilizador entre no router NAT numa
interface interna, despoletando o NAT para fazer uma tradução. A configuração do
NAT pode ser perfeita, mas se não houver tráfego de entrada que corresponda à
configuração do NAT, o NAT não faz nada.
■ Encaminhamento IPv4: O roteamento IPv4 pode impedir que os pacotes cheguem em
ambos os lados do roteador NAT. Observe que o roteamento deve funcionar para os
endereços IP de destino usados nos pacotes.

Com a NAT de origem, o utilizador está sentado num dispositivo de utilizador, como um
PC. Tenta ligar-se a um servidor, utilizando o nome DNS desse servidor. Após a resolução
do DNS, o cliente (o host interno) envia um pacote IP com um endereço de destino do
servidor. Por exemplo, como mostrado na Figura 10-11, PC1 envia um pacote IP com o
endereço IP de destino 170.1.1.1, algum servidor na Internet. PC1 é um host interno, o
servidor é um host externo e 170.1.1.1 é o endereço global externo. (Observe que esses
endereços correspondem ao exemplo anterior, que fez referência à Figura 10-10).

Certskills 200.1.1.249
Servidor

Internet
G0/0 NAT R1
S0/0/0 R2
10.1.1.1 170.1.1.1
Interior Exterior
1 Para: 2 Inalterado - Para:
170.1.1.1 170.1.1.1
Para: 4 Para: 3
10.1.1.1 200.1.1.249

Figura 10-11 Alterações de endereço de destino de fora para dentro (apenas) com NAT de origem
Observe que, com o NAT de origem, o endereço IP de destino do pacote não muda
durante toda a viagem. Portanto, a resolução de problemas de roteamento IPv4 em direção
à rede externa será baseada no mesmo endereço IP durante todo o trajeto.
Agora veja os passos 3 e 4 na figura, que lembra que o pacote de retorno fluirá primeiro
para o endereço global interno do NAT (200.1.1.249 neste caso), como mostrado no passo 10
3. Em seguida, o NAT converte o endereço de destino para 10.1.1.1, neste caso. Portanto,
para solucionar o problema dos pacotes que fluem da direita para a esquerda neste caso, é
necessário solucionar o problema com base em dois endereços IP de destino diferentes.

Revisão do capítulo
Um dos segredos para se sair bem nos exames é realizar sessões de revisão espaçadas e
repetitivas. Reveja o material deste capítulo utilizando as ferramentas do livro ou as
ferramentas interactivas para o mesmo material que se encontram no website que
acompanha o livro. Consulte o elemento "Seu plano de estudo" para obter mais detalhes. A
Tabela 10-5 descreve os principais elementos de revisão e onde encontrá-los. Para
acompanhar melhor o progresso do seu estudo, registre quando você concluiu essas
atividades na segunda coluna.
234 CCNA 200-301 Official Cert Guide, Volume 2

Tabela 10-5 Acompanhamento da revisão do capítulo

Elemento de revisão Data(s) de revisão Recurso utilizado
Rever os principais tópicos Livro, sítio Web
Rever os termos-chave Livro, sítio Web
Repetir as perguntas DIKTA Livro, PTP
Rever as tabelas de memória Livro, sítio Web
Rever as tabelas de comandos Livro
Fazer laboratórios Blogue

Rever todos os tópicos-chave

Tabela 10-6 Tópicos-chave para o Capítulo 10
Elemento Descrição Número
-chave do da
tópico página
Tabela 10-2 Lista de números de redes IP privadas 206
Figura 10-2 Conceito principal de NAT - tradução de endereços IP privados 207
em endereços globais únicos para o público
Figura 10-4 Diagrama de rede NAT típico com os principais termos NAT 209
listados
Tabela 10-4 Lista de quatro termos-chave da NAT e respectivos significados 210
Figura 10-8 Conceitos subjacentes à conservação de endereços obtida através 213
da sobrecarga NAT (PAT)
Parágrafo Resumo das diferenças entre a configuração NAT dinâmica e PAT 220
utilizando um pool

Termos-chave que deve conhecer

CIDR, global interior, local interior, sobrecarga NAT, global exterior, Port Address
Translation, rede IP privada, NAT de origem

Referências de comandos
As Tabelas 10-7 e 10-8 listam os comandos de configuração e verificação usados neste
capítulo. Como um exercício de revisão fácil, cubra a coluna da esquerda em uma tabela,
leia a coluna da direita e tente lembrar o comando sem olhar. Em seguida, repita o
exercício, cobrindo a coluna da direita, e tente lembrar-se do que o comando faz.

Tabela 10-7 Capítulo 10 Referência do Comando de Configuração
Comando
ip nat {inside | outside}
ip nat inside source {list {access-list-number
| access-list-name}} {interface type number |
pool pool-name} [overload]
ip nat pool name start-ip end-ip {netmask
máscara de rede | comprimento do prefixo
comprimento do prefixo}
ip nat inside source inside-local
inside-global
Capítulo 10: T r a d u ç ã o d e endereços de
rede 235
Descrição
Subcomando Interface para ativar a NAT e
identificar se a interface se encontra no
interior ou no exterior da rede
Comando global que ativa a NAT
globalmente, referenciando a ACL que define
quais os endereços de origem a NAT e a
interface ou pool a partir do qual se encontram
os endereços globais
Comando global para definir um conjunto de
endereços NAT
Comando global que lista o endereço interno e
externo (ou uma interface externa cujo
endereço IP deve ser usado) a ser emparelhado
e adicionado à tabela de tradução NAT

Tabela 10-8 Capítulo 10 Referência do comando EXEC

Comando
show ip nat statistics
show ip nat translations [verbose]
clear ip nat translation {* | [inside
global-ip local-ip] [outside local-ip
global-ip]}
clear ip nat translation protocol inside
global-ip global-port local-ip local-port
[outside local-ip global-ip]
debug ip nat
Descrição
Lista os contadores de pacotes e entradas da tabela
NAT, bem como informações básicas de
configuração
Apresenta a tabela NAT
Limpa todas ou algumas das entradas dinâmicas
da tabela NAT, dependendo dos parâmetros
utilizados
Limpa algumas das entradas dinâmicas da tabela
NAT, dependendo dos parâmetros utilizados
Emite uma mensagem de registo que descreve cada
pacote cujo endereço IP é traduzido com NAT
10