Escolar Documentos
Profissional Documentos
Cultura Documentos
CCNA 200-301 Official Cert Guide, Volume 2 - NAT PT
CCNA 200-301 Official Cert Guide, Volume 2 - NAT PT
CAPÍTULO 10
Este capítulo examina uma parte muito popular e muito importante de redes corporativas e
de pequenos escritórios/escritórios domésticos (SOHO): Network Address Translation, ou
NAT. O NAT ajudou a resolver um grande problema com o IPv4: o espaço de endereços
IPv4 teria sido completamente consumido em meados da década de 1990. Depois de
consumido, a Internet não poderia continuar a crescer, o que teria abrandado
significativamente o desenvolvimento da Internet.
Este capítulo divide os tópicos em três secções principais. A primeira seção explica os
desafios ao espaço de endereços IPv4 causados pela revolução da Internet nos anos 1990. A
segunda secção explica o conceito básico por trás do NAT, como funcionam as diversas
variações do NAT e como a opção Port Address Translation (PAT) conserva o espaço de
endereços IPv4. A secção final mostra como configurar a NAT a partir da interface de linha
de comandos (CLI) do software Cisco IOS e como solucionar problemas de NAT.
Tabela 10-1 " Será que já sei isto?" Mapeamento da secção para pergunta dos Tópicos Básicos
Secção Tópicos da Fundação Perguntas
Perspectivas sobre a escalabilidade dos endereços IPv4 1-2
Conceitos de tradução de endereços de rede 3-4
Configuração e resolução de problemas de NAT 5-7
1. Qual das seguintes sub-redes resumidas representa rotas que poderiam ter sido
criadas para o objetivo do CIDR de reduzir o tamanho das tabelas de
encaminhamento da Internet?
a. 10.0.0.0 255.255.255.0
b. 10.1.0.0 255.255.0.0
c. 200.1.1.0 255.255.255.0
d. 200.1.0.0 255.255.0.0
2. Quais dos seguintes não são endereços privados de acordo com o RFC 1918?
(Escolha duas respostas.)
a. 172.31.1.1
b. 172.33.1.1
c. 10.255.1.1
d. 10.1.255.1
e. 191.168.1.1
3. Com o NAT estático, realizando a tradução apenas para endereços internos, o que
faz com que as entradas da tabela NAT sejam criadas?
a. O primeiro pacote da rede interna para a rede externa
b. O primeiro pacote da rede externa para a rede interna
c. Configuração utilizando o comando ip nat inside source
d. Configuração utilizando o comando ip nat outside source
4. Com o NAT dinâmico, realizando a tradução apenas para endereços internos, o
que faz com que as entradas da tabela NAT sejam criadas?
a. O primeiro pacote da rede interna para a rede externa
b. O primeiro pacote da rede externa para a rede interna
c. Configuração utilizando o comando ip nat inside source
d. Configuração utilizando o comando ip nat outside source
5. O NAT foi configurado para traduzir os endereços de origem dos pacotes para a
parte interna da rede, mas apenas para alguns anfitriões identificados por uma lista
de controlo de acesso. Qual dos seguintes comandos identifica indiretamente os
hosts?
a. ip nat inside source list 1 pool barney
b. ip nat pool barney 200.1.1.1 200.1.1.254 netmask 255.255.255.0
c. ip nat inside
d. ip nat inside 200.1.1.1 200.1.1.2
204 CCNA 200-301 Official Cert Guide, Volume 2
A principal solução a longo prazo para o problema da escalabilidade dos endereços IPv4
era aumentar o tamanho do endereço IP. Este facto foi a razão mais convincente para o
advento da versão 6 do IP (IPv6). (A versão 5 foi definida muito antes, mas nunca foi
implementada, pelo que a tentativa seguinte foi designada por versão 6). O IPv6 utiliza um
endereço de 128 bits, em vez do endereço de 32 bits do IPv4. Com o mesmo processo ou
um processo melhorado de atribuição de intervalos de endereços únicos a cada organização
ligada à Internet, o IPv6 pode facilmente suportar todas as organizações e indivíduos do
planeta, com o número de endereços IPv6 a atingir teoricamente mais de 1038.
Foram sugeridas muitas soluções a curto prazo para o problema do endereçamento, mas
três normas funcionaram em conjunto para resolver o problema. Duas das normas
trabalham em estreita colaboração: Network Address Translation (NAT) e endereçamento
privado. Esses recursos juntos permitem que muitas organizações usem os mesmos
números de rede IPv4 não registrados internamente - e ainda se comuniquem bem com a
Internet. A terceira norma, CIDR (classless interdomain routing), permite que os ISPs
reduzam o desperdício de endereços IPv4, atribuindo a uma empresa um subconjunto de
um número de rede em vez de toda a rede. O CIDR também pode permitir que os ser-
Os fornecedores de serviços de Internet (ISP) resumem as rotas de modo a que várias redes
de classe A, B ou C correspondam a uma única rota, o que ajuda a reduzir o tamanho das
tabelas de encaminhamento da Internet.
CIDR
O CIDR é uma convenção global de atribuição de endereços que define como a IANA
(Internet Assigned Numbers Authority), suas agências membros e ISPs devem atribuir o
espaço de endereços IPv4 globalmente exclusivo a organizações individuais.
O CIDR, definido na RFC 4632, tem dois objectivos principais. Em primeiro lugar, o CIDR
define uma forma de atribuir endereços IP públicos, a nível mundial, para permitir a
agregação ou resumo de rotas. Esses resumos de rotas reduzem muito o tamanho das tabelas
de roteamento nos roteadores da Internet.
A Figura 10-1 mostra um caso típico de agregação de rotas CIDR e como o CIDR pode
ser usado para substituir mais de 65.000 rotas por uma rota. Primeiro, imagine que o ISP 1 10
possui a classe
C 198.0.0.0 até 198.255.255.0-não por acidente, mas por um projeto intencional e
cuidadoso para tornar possível este exemplo de agregação de rotas. Por outras palavras, a
IANA atribuiu todos os endereços que começam por 198 a um dos cinco Registos
Regionais da Internet (RIR), e esse RIR atribuiu toda esta gama a um grande ISP nessa
parte do mundo.
Cliente A
ISP2 Para 198.8.3.0 /24
198._._._.
ISP1 Para 198._._._.
ISP3 Para 198._._._. 198.0.0.0 -
198.255.255.0 Figura 10-1 Utilização típica do
ISP4
CIDR Capítulo 10: T r aCliente
d u ç ãBo d e endereços de
rede 207 198.4.2.0 /24
198.4.3.0 /24
Cliente C
198.1.0.0 /24
208 CCNA 200-301 Official Cert Guide, Volume 2
A atribuição de todos os endereços que começam com 198 a um ISP permite que
outros ISPs usem uma rota - uma rota para 198.0.0.0/8 - para corresponder a todos
esses endereços, encaminhando pacotes para esses endereços para o ISP1. A Figura
10-1 mostra os ISPs à esquerda, cada um com uma rota para
198.0.0.0/8-em outras palavras, uma rota para todos os hosts cujo endereço IP começa com
198. Essa rota resumida corresponderá a pacotes enviados a todos os endereços nas 65.536
redes IP de classe C que começam com 198.
A segunda principal caraterística do CIDR permite que os RIRs e ISPs reduzam o desperdício
atribuindo um subconjunto de uma rede classful a um único cliente. Por e x e m p l o , imagine
que o cliente A do ISP1 precisa de apenas 10 endereços IP e que o cliente C precisa de 25
endereços IP. O ISP1 faz algo parecido com isto:
■ Atribuir ao cliente A o bloco CIDR 198.8.3.16/28, com 14 endereços atribuíveis
(198.8.3.17 a 198.8.3.30).
■ Atribuir ao cliente B o bloco CIDR 198.8.3.32/27, com 30 endereços atribuíveis
(198.8.3.33 a 198.8.3.62).
Estes blocos CIDR funcionam de forma muito semelhante a uma rede IP pública; em
particular, dão a cada empresa um conjunto consecutivo de endereços IPv4 públicos para
utilizar. O processo de atribuição de endereços públicos também tem muito menos
desperdício do que antes. De facto, a maioria das atribuições de endereços públicos nos
últimos 20 anos tem sido um bloco CIDR em vez de uma rede inteira de classe A, B ou C.
Endereçamento privado
Alguns computadores podem nunca estar ligados à Internet. Os endereços IP destes
computadores podem ser duplicados de endereços IP registados na Internet. Ao projetar a
convenção de endereçamento IP para tal rede, uma organização poderia escolher e usar
qualquer número de rede que quisesse, e tudo ficaria bem. Por exemplo, você pode comprar
alguns roteadores, conectá-los em seu escritório e configurar endereços IP na rede 1.0.0.0, e
tudo funcionará. Os endereços IP que utilizar podem ser duplicados de endereços IP reais na
Internet, mas se tudo o que quiser fazer é aprender no laboratório do seu escritório, tudo
ficará bem.
Ao construir uma rede privada que não terá conetividade com a Internet, pode utilizar
números de rede IP denominados redes internas privadas, conforme definido no RFC
1918, "Atribuição de endereços para redes internas privadas". Este RFC define um
conjunto de redes que nunca serão atribuídas a qualquer organização como um número de
rede registado. Em vez de utilizar os números de rede registados de outra pessoa, pode
utilizar números num intervalo que não é utilizado por mais ninguém na Internet pública.
A Tabela 10-2 mostra o espaço de endereços privados definido pela RFC 1918.
Por outras palavras, qualquer organização pode utilizar estes números de rede. No entanto,
nenhuma organização está autorizada a anunciar estas redes utilizando um protocolo de
encaminhamento na Internet.
Capítulo 10: T r a d u ç ã o d e endereços de
rede 209
Respostas ao questionário "Será que já sei isto?
1 D 2 B, E 3 C 4 A 5 A 6 A, C 7 B
210 CCNA 200-301 Official Cert Guide, Volume 2
A Tabela 10-3 resume esses recursos importantes que ajudaram a prolongar a vida útil do
IPv4 por décadas.
Tabela 10-3 Três funções importantes que prolongaram a vida útil do IPv4
Caracterís RFC(s) Principais benefícios
tica
CIDR* 4632 Atribuir blocos de endereços IPv4 públicos mais específicos às
empresas do que às redes de classe A, B e C.
Agregar rotas para endereços IPv4 públicos com base no plano
mundial de atribuição de endereços.
NAT* 3022 Permite que aproximadamente 65.000 sessões TCP/UDP sejam
suportadas por um único endereço IPv4 público.
Redes 1918 Permitir a utilização de NAT para ligações empresariais à Internet,
privadas com endereços privados utilizados dentro da empresa.
*O CIDR e o NAT podem ser mais conhecidos pelos seus RFC originais (1518, 1519 para o CIDR; 1631 para o NAT).
Client www.cisco.com
NAT
e
Privad Internet
o
10.1.1.1 170.1.1.1
Origem Destino Origem Destino
10.1.1.1 170.1.1.1 ........ 200.1.1.1 170.1.1.1 ........
10
Alterações NAT
NAT estática
A NAT estática funciona exatamente como o exemplo mostrado na Figura 10-2, mas com
os endereços IP mapeados estaticamente entre si. Para ajudá-lo a entender as implicações
da NAT estática e explicar vários termos-chave, a Figura 10-3 mostra um exemplo
semelhante com mais informações.
10.1.1.1 Servid
or
Internet
NAT
10.1.1.2
170.1.1.1
SA = 10.1.1.1 SA = 200.1.1.1
Tabela NAT
Endereçoestática Endereço público
privado
10.1.1.1 Legend
10.1.1.2 200.1.1.1 a SA: Endereço de
200.1.1.2 origem
Utilizando a terminologia NAT, a rede da empresa que utiliza endereços privados e, por
conseguinte, necessita de NAT, é a parte "interna" da rede. O lado da Internet da função
NAT é a parte "externa" da rede. Um host que precisa de NAT (como 10.1.1.1 no
exemplo)
tem o endereço IP que usa dentro da rede e precisa de um endereço IP para representá-lo na
rede externa. Assim, como o anfitrião precisa essencialmente de dois endereços diferentes
para o representar, são necessários dois termos. A Cisco chama o endereço IP privado usado
na rede interna de endereço local interno e o endereço usado para representar o host para o
resto da Internet de endereço global interno. A Figura 10-4 repete o mesmo exemplo, com
algumas das terminologias mostradas.
Interior Exterior
Servid
10.1.1.1
or
Internet
NAT
10.1.1.2
170.1.1.1
SA = 10.1.1.1 SA = 200.1.1.1
NAT dinâmica
A NAT dinâmica tem algumas semelhanças e diferenças em relação à NAT estática. Tal como a
NAT estática, o router NAT cria um mapeamento de um para um entre um endereço local interno
e um endereço global interno e altera os endereços IP nos pacotes à medida que estes saem e
entram na rede interna. No entanto, o mapeamento de um endereço local interno para um
endereço global interno ocorre dinamicamente.
O NAT dinâmico configura um pool de possíveis endereços globais internos e define critérios
de correspondência para determinar quais endereços IP locais internos devem ser traduzidos
com o NAT. Por exemplo, na Figura 10-5, um conjunto de cinco endereços IP globais internos
foi estabelecido: 200.1.1.1 a 200.1.1.5. O NAT também foi configurado para traduzir qualquer
endereço local interno que comece com 10.1.1.
214 CCNA 200-301 Official Cert Guide, Volume 2
1 SA = 10.1.1.1 4 SA = 200.1.1.1
Interior Exterior
Servid
10.1.1.1
or
Internet
NAT
10.1.1.2
170.1.1.1
endereços necessários para essa organização. A NAT dinâmica diminui o problema até
certo ponto, porque cada host de uma rede de Internet raramente precisa de comunicar com
a Internet ao mesmo tempo. No entanto, se uma grande percentagem dos anfitriões IP de
uma rede necessitar de acesso à Internet durante o horário normal de funcionamento da
empresa, a NAT continua a exigir um grande número de endereços IP registados, não
conseguindo, mais uma vez, reduzir o consumo de endereços IPv4.
O recurso de Sobrecarga NAT, também chamado de Tradução de Endereço de Porta (PAT),
resolve esse problema. A sobrecarga permite que o NAT seja dimensionado para suportar
muitos clientes com apenas alguns endereços IP públicos.
A chave para entender como a sobrecarga funciona é lembrar como os hosts usam as
portas TCP e User Datagram Protocol (UDP). Para ver por que, primeiro considere a
idéia de três conexões TCP separadas para um servidor Web, de três hosts diferentes,
como mostrado na Figura 10-6.
10.1.1.3 170.1.1.1
10.1.1.3 , Porto 49733 200.1.1.2, Porto 49726 170.1.1.1, Porto 80
Lista de Passo 1. Utilize o comando ip nat inside no modo de configuração de interface para
verificação
de
configurar as interfaces para estarem na parte interna do design NAT.
configuraç
ão Passo 2. Utilize o comando ip nat outside no modo de configuração de interface para
218 CCNA 200-301 Official configurar
Cert Guide,asVolume 2 para estarem na parte externa do design NAT.
interfaces
Passo 3. Utilize o comando ip nat inside source static inside-local inside-global
no modo de configuração global para configurar os mapeamentos
estáticos.
Capítulo 10: T r a d u ç ã o d e endereços de
rede 219
A Figura 10-9 mostra a rede familiar usada na descrição do NAT estático anteriormente
neste capítulo, que também é usada para os primeiros exemplos de configuração. Na Figura
10-9, você pode ver que a Certskills obteve a rede Classe C 200.1.1.0 como um número de
rede registrado. Toda essa rede, com máscara 255.255.255.0, está configurada no link serial
entre a Certskills e a Internet. Com um link serial ponto-a-ponto, apenas dois dos 254
endereços IP válidos nessa rede são consumidos, deixando 252 endereços.
Certskills 200.1.1.251
200.1.1.252
10.1.1.1
Servidor
Internet
G0/0 NAT S0/0/0 R1 R2
170.1.1.1
10.1.1.2
Exterior
Interior
Configuração de NAT estática
Dentro do Por dentro do
local mundo
10.1.1.1 200.1.1.1
10.1.1.2 200.1.1.2
Figura 10-9 Amostra de rede para exemplos de NAT, com classe pública C 200.1.1.0/24
Ao planejar uma configuração NAT, é necessário encontrar alguns endereços IP para usar
como endereços IP globais internos. Como esses endereços devem fazer parte de algum
intervalo de endereços IP registrados, é comum usar os endereços extras na sub-rede que
conecta a empresa à Internet - por exemplo, os 252 endereços IP extras na rede 200.1.1.0
neste caso. O router também pode ser configurado com uma interface de loopback e ser-
lhe atribuído um endereço IP que faça parte de um intervalo globalmente único de
endereços IP registados.
O Exemplo 10-1 lista a configuração NAT, usando 200.1.1.1 e 200.1.1.2 para os dois
mapeamentos NAT estáticos.
Exemplo 10-1 Configuração de NAT estática
NAT# show running-config
!
! Linhas omitidas por brevidade
!
interface GigabitEthernet0/0
endereço ip 10.1.1.3
255.255.255.0 ip nat inside
!
interface Serial0/0/0
endereço ip 200.1.1.251 255.255.255.0
ip nat outside
!
ip nat inside source static 10.1.1.2 200.1.1.2
ip nat inside source static 10.1.1.1 200.1.1.1
O próximo exemplo mostra uma amostra de configuração NAT dinâmica usando a mesma
topologia de rede do exemplo anterior (veja a Figura 10-9). Neste caso, os mesmos dois
endereços locais internos - 10.1.1.1 e 10.1.1.2 - precisam de tradução. No entanto, ao
contrário do exemplo anterior de NAT estático, a configuração no Exemplo 10-2 coloca os
endereços IP públicos (200.1.1.1 e 200.1.1.2) em um pool de endereços globais internos
atribuíveis dinamicamente.
Exemplo 10-2 Configuração de NAT dinâmica
NAT# show running-config
!
! Linhas omitidas por brevidade
!
interface GigabitEthernet0/0
endereço ip 10.1.1.3 255.255.255.0
ip nat inside
!
interface Serial0/0/0
endereço ip 200.1.1.251 255.255.255.0
ip nat outside
!
ip nat pool fred 200.1.1.1 200.1.1.2 netmask 255.255.255.252
ip nat inside source list 1 pool fred
!
access-list 1 permit 10.1.1.2
access-list 1 permit 10.1.1.1
O Dynamic NAT configura o pool de endereços públicos (globais) com o comando ip nat
pool listando o primeiro e o último números em um intervalo inclusivo de endereços
globais internos. Por exemplo, se o pool precisasse de 10 endereços, o comando poderia
listar 200.1.1.1 e 200.1.1.10, o que significa que o NAT pode usar de 200.1.1.1 a
200.1.1.10.
O Dynamic NAT também executa uma verificação no comando ip nat pool com o
parâmetro de máscara de rede necessário. Se o intervalo de endereços não estiver na
mesma sub-rede, assumindo que a máscara de rede configurada foi usada nos endereços
do intervalo configurado, o IOS rejeitará o comando ip nat pool. Por exemplo, conforme
configurado com o limite inferior de 200.1.1.1, o limite superior de 200.1.1.2 e uma
máscara de 255.255.255.252, o IOS usaria as seguintes verificações para garantir que
ambos os cálculos colocassem 200.1.1.1 e 200.1.1.2 na mesma sub-rede:
■ 200.1.1.1 com máscara 255.255.255.252 implica a sub-rede 200.1.1.0, endereço de difusão 200.1.1.3.
■ 200.1.1.2 com máscara 255.255.255.252 implica a sub-rede 200.1.1.0, endereço de difusão 200.1.1.3.
Total de portas: 0
Portas de aplicação: 0
Portas normais: 0
Pacotes em fila de espera: 0
224 CCNA 200-301 Official Cert Guide, Volume 2
O comando show ip nat statistics no final do exemplo lista algumas informações de
solução de problemas particularmente interessantes com dois contadores diferentes
rotulados como "misses", como
Capítulo 10: T r a d u ç ã o d e endereços de
rede 225
destacado no exemplo. A primeira ocorrência deste contador conta o número de vezes que
um novo pacote chega, precisando de uma entrada NAT, e não encontra uma. Nesse
momento, a NAT dinâmica reage e constrói uma entrada. O segundo contador de misses
no final da saída do comando lista o número de misses no pool. Este contador aumenta
apenas quando a NAT dinâmica tenta alocar uma nova entrada na tabela NAT e não
encontra endereços disponíveis,
por isso o pacote não pode ser traduzido - provavelmente resultando na impossibilidade de
um utilizador final aceder à aplicação.
A seguir, o Exemplo 10-4 actualiza a saída de ambos os comandos após o utilizador do anfitrião em
10.1.1.1 telnets para o anfitrião 170.1.1.1.
Exemplo 10-4 Verificações de NAT dinâmica após gerar tráfego
NAT# show ip nat translations
Pro Dentro globalDentro Fora do local Fora do mundo
local
--- ---
--- 200.1.1.1 10.1.1.1
O exemplo começa com o host 10.1.1.1 fazendo telnet para 170.1.1.1 (não mostrado), com
o roteador NAT criando uma entrada NAT. A tabela NAT mostra uma única entrada,
mapeando 10.1.1.1 para
200.1.1.1. E, a primeira linha na saída do comando show ip nat statistics lista um contador
para 1 tradução ativa, como mostrado na tabela NAT no topo do exemplo.
Tome um momento extra para considerar a linha destacada, onde o comando show ip nat
statistics lista 1 miss e 69 hits. O primeiro contador de miss, agora em 1, significa que
chegou um pacote que precisava de NAT, mas não havia entrada na tabela NAT. O NAT
reagiu e adicionou uma entrada na tabela NAT, então o contador de acertos de 69 significa
que os próximos 69 pacotes usaram a nova entrada da tabela NAT adicionada. O segundo
contador de misses, ainda em 0, não foi incrementado porque o pool NAT tinha endereços
IP globais internos suficientes para usar na alocação da nova entrada da tabela NAT. Note
também que a última linha lista estatísticas sobre o número de membros do pool alocados
(1) e a porcentagem do pool atualmente em uso (50%).
226 CCNA 200-301 Official Cert Guide, Volume 2
As entradas da tabela NAT dinâmica atingem o tempo limite após um período de
inatividade, colocando esses endereços globais internos de volta no pool para uso futuro. O
Exemplo 10-5 mostra uma seqüência na qual dois hosts diferentes utilizam o endereço
global interno 200.1.1.1. O host 10.1.1.1 usa o endereço global interno 200.1.1.1 no início
do exemplo. Em seguida, em vez de apenas esperar pelo
Capítulo 10: T r a d u ç ã o d e endereços de
rede 227
Para que a entrada NAT não tenha tempo limite, o exemplo limpa a entrada da tabela NAT
com o comando clear ip nat translation *. Nesse momento, o usuário em 10.1.1.2 se
conecta a 170.1.1.1, e a nova entrada da tabela NAT aparece, usando o mesmo endereço
global interno 200.1.1.1.
Exemplo 10-5 Exemplo de reutilização de um endereço IP global interno dinâmico
! O anfitrião 10.1.1.1 utiliza atualmente o interior
global 200.1.1.1
NAT# show ip nat translations
Pro Dentro globalDentro Fora do local Fora do mundo
local
--- 200.1.1.1 10.1.1.1 --- ---
NAT# clear ip nat translation *
!
! telnet de 10.1.1.2 para 170.1.1.1 aconteceu a seguir; não
mostrado
!
! Agora, o anfitrião 10.1.1.2 usa dentro do global 200.1.1.1
Finalmente, no final do Exemplo 10-5, você vê que o host 10.1.1.1 fez telnet para outro
O roteador pode ser usado para verificar o endereço do host na Internet, além da saída do
comando debug ip nat. Esse comando de depuração faz com que o roteador emita uma 10
mensagem sempre que um pacote tiver seu endereço traduzido para NAT. Os resultados de
saída são gerados digitando algumas linhas da conexão Telnet de
10.1.1.1 para 170.1.1.1. A saída de depuração informa que o host 10.1.1.1 agora usa o
endereço global interno 200.1.1.2 para essa nova conexão.
O Exemplo 10-2 demonstrou uma configuração NAT dinâmica. Para convertê-la em uma
configuração PAT, você usaria o comando ip nat inside source list 1 pool fred overload,
simplesmente adicionando a palavra-chave overload.
O exemplo seguinte mostra a configuração PAT utilizando um único endereço IP de interface. Figura
10-10 mostra a mesma rede familiar, com algumas alterações. Neste caso, o ISP forneceu à
Certskills um subconjunto da rede 200.1.1.0: Sub-rede CIDR 200.1.1.248/30. Em outras
palavras, essa sub-rede tem dois endereços utilizáveis: 200.1.1.249 e 200.1.1.250. Esses
endereços são usados em ambas as extremidades do link serial entre a Certskills e seu ISP.
O recurso NAT no roteador da Certskills traduz todos os endereços NAT para seu endereço
IP serial, 200.1.1.249.
Certskills 200.1.1.249
200.1.1.250
10.1.1.1
Servidor
Internet
G0/0 NAT S0/0/0 R1 R2
170.1.1.1
10.1.1.2
Exterior
Interior
Tabela NAT (Sobrecarga)
Dentro do local Por dentro do
mundo
10.1.1.1: 49712 200.1.1.249: 49712
10.1.1.2: 49713 200.1.1.249: 49713 Capítulo 10: T r a d u ç ã o d e endereços de
10.1.1.2: 49913 200.1.1.249: 49913 rede 229
Figura 10-10 Sobrecarga de NAT e PAT
230 CCNA 200-301 Official Cert Guide, Volume 2
No Exemplo 10-6, que mostra a configuração de sobrecarga NAT, o NAT traduz usando
apenas o endereço global interno 200.1.1.249, portanto o pool NAT não é necessário. No
exemplo, o host
10.1.1.2 cria duas ligações Telnet e o anfitrião 10.1.1.1 cria uma ligação Telnet,
originando três entradas NAT dinâmicas, cada uma utilizando o endereço global interno
200.1.1.249, mas cada uma com um número de porta único.
Exemplo 10-6 Configuração de sobrecarga NAT
NAT# show running-config
!
! Linhas omitidas por brevidade
!
interface GigabitEthernet0/0
endereço ip 10.1.1.3 255.255.255.0
ip nat inside
!
interface Serial0/0/0
endereço ip 200.1.1.249 255.255.255.252
ip nat outside
!
ip nat inside source list 1 interface Serial0/0/0 overload
!
access-list 1 permit 10.1.1.2
access-list 1 permit 10.1.1.1
!
O comando ip nat inside source list 1 interface serial 0/0/0 overload tem vários
parâmetros, mas se você entende a configuração NAT dinâmica, os novos parâmetros
não devem ser muito difíceis de entender. O parâmetro list 1 significa a mesma coisa
que para
Capítulo 10: T r a d u ç ã o d e endereços de
rede 231
NAT dinâmica: os endereços IP locais internos que correspondem à ACL 1 têm os seus
endereços traduzidos. O parâmetro interface serial 0/0/0 significa que o único endereço IP
global interno disponível é o endereço IP da interface serial 0/0/0 do roteador NAT.
Finalmente, o parâmetro overload significa que a sobrecarga está activada. Sem este
parâmetro, o router não efectua sobrecarga, apenas NAT dinâmica.
Como você pode ver na saída do comando show ip nat translations, três traduções foram
adicionadas à tabela NAT. Antes deste comando, o host 10.1.1.1 cria uma conexão Telnet
para 170.1.1.1, e o host 10.1.1.2 cria duas conexões Telnet. O roteador cria uma entrada na
tabela NAT para cada combinação única de endereço IP local interno e porta.
Com a NAT de origem, o utilizador está sentado num dispositivo de utilizador, como um
PC. Tenta ligar-se a um servidor, utilizando o nome DNS desse servidor. Após a resolução
do DNS, o cliente (o host interno) envia um pacote IP com um endereço de destino do
servidor. Por exemplo, como mostrado na Figura 10-11, PC1 envia um pacote IP com o
endereço IP de destino 170.1.1.1, algum servidor na Internet. PC1 é um host interno, o
servidor é um host externo e 170.1.1.1 é o endereço global externo. (Observe que esses
endereços correspondem ao exemplo anterior, que fez referência à Figura 10-10).
Certskills 200.1.1.249
Servidor
Internet
G0/0 NAT R1
S0/0/0 R2
10.1.1.1 170.1.1.1
Interior Exterior
1 Para: 2 Inalterado - Para:
170.1.1.1 170.1.1.1
Para: 4 Para: 3
10.1.1.1 200.1.1.249
Figura 10-11 Alterações de endereço de destino de fora para dentro (apenas) com NAT de origem
Observe que, com o NAT de origem, o endereço IP de destino do pacote não muda
durante toda a viagem. Portanto, a resolução de problemas de roteamento IPv4 em direção
à rede externa será baseada no mesmo endereço IP durante todo o trajeto.
Agora veja os passos 3 e 4 na figura, que lembra que o pacote de retorno fluirá primeiro
para o endereço global interno do NAT (200.1.1.249 neste caso), como mostrado no passo 10
3. Em seguida, o NAT converte o endereço de destino para 10.1.1.1, neste caso. Portanto,
para solucionar o problema dos pacotes que fluem da direita para a esquerda neste caso, é
necessário solucionar o problema com base em dois endereços IP de destino diferentes.
Revisão do capítulo
Um dos segredos para se sair bem nos exames é realizar sessões de revisão espaçadas e
repetitivas. Reveja o material deste capítulo utilizando as ferramentas do livro ou as
ferramentas interactivas para o mesmo material que se encontram no website que
acompanha o livro. Consulte o elemento "Seu plano de estudo" para obter mais detalhes. A
Tabela 10-5 descreve os principais elementos de revisão e onde encontrá-los. Para
acompanhar melhor o progresso do seu estudo, registre quando você concluiu essas
atividades na segunda coluna.
234 CCNA 200-301 Official Cert Guide, Volume 2
Referências de comandos
As Tabelas 10-7 e 10-8 listam os comandos de configuração e verificação usados neste
capítulo. Como um exercício de revisão fácil, cubra a coluna da esquerda em uma tabela,
leia a coluna da direita e tente lembrar o comando sem olhar. Em seguida, repita o
exercício, cobrindo a coluna da direita, e tente lembrar-se do que o comando faz.
Capítulo 10: T r a d u ç ã o d e endereços de
rede 235
Tabela 10-7 Capítulo 10 Referência do Comando de Configuração
Comando Descrição
ip nat {inside | outside} Subcomando Interface para ativar a NAT e
identificar se a interface se encontra no
interior ou no exterior da rede
ip nat inside source {list {access-list-number Comando global que ativa a NAT
| access-list-name}} {interface type number | globalmente, referenciando a ACL que define
pool pool-name} [overload] quais os endereços de origem a NAT e a
interface ou pool a partir do qual se encontram
os endereços globais
ip nat pool name start-ip end-ip {netmask Comando global para definir um conjunto de
máscara de rede | comprimento do prefixo endereços NAT
comprimento do prefixo}
ip nat inside source inside-local Comando global que lista o endereço interno e
inside-global externo (ou uma interface externa cujo
endereço IP deve ser usado) a ser emparelhado
e adicionado à tabela de tradução NAT