Konfigurieren der Netzwerkadressübersetzung und der statischen Portadressübersetzung zur Unterstützung eines internen Webservers

Download-Optionen

  • PDF     (330.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (103.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (114.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:9. April 2007
Dokument-ID:12905

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Cisco IOS® Network Address Translation (NAT) wurde für die Vereinfachung und Einsparung von IP-Adressen entwickelt. Es ermöglicht privaten IP-Internetworks, die nicht registrierte IP-Adressen verwenden, eine Verbindung zum Internet herzustellen. NAT arbeitet auf einem Cisco Router, der in der Regel zwei Netzwerke miteinander verbindet, und übersetzt die privaten (intern lokalen) Adressen im internen Netzwerk in öffentliche Adressen (extern lokal), bevor Pakete an ein anderes Netzwerk weitergeleitet werden. Als Teil dieser Funktion kann NAT so konfiguriert werden, dass nur eine Adresse für das gesamte Netzwerk nach außen bekannt gegeben wird. Dadurch wird das interne Netzwerk effektiv vor der Welt verborgen. Daher bietet es zusätzliche Sicherheit.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Eine der Hauptfunktionen von NAT ist die statische Port-Adressenumwandlung (PAT), die in einer Cisco IOS-Konfiguration auch als "Overload" bezeichnet wird. Static PAT ermöglicht die 1:1-Zuordnung zwischen lokalen und globalen Adressen. Eine gängige Verwendung für statische PAT besteht darin, Internetbenutzern aus dem öffentlichen Netzwerk den Zugriff auf einen Webserver zu ermöglichen, der sich im privaten Netzwerk befindet.

Weitere Informationen zu NAT finden Sie auf den Seiten des technischen Supports für NAT.

Diese Tabelle zeigt die drei Blöcke mit IP-Adressraum, die für private Netzwerke verfügbar sind. Weitere Informationen zu diesen speziellen Netzwerken finden Sie auf RFC 1918leavingcisco.com.

IP-Adressraum Klasse
10.0.0.0 - 10.255.255.255 (Präfix 10/8) Klasse A
172.16.0.0 - 172.31.255.255 (172.16/12 Präfix ) Klasse B
192.168.0.0 - 192.168.255.255 (Präfix 192.168/16) Klasse C

Hinweis: Der erste Block ist nichts weiter als eine einzelne Netzwerknummer der Klasse A, während der zweite Block ein Satz von 16 zusammenhängenden Netzwerknummern der Klasse B und der dritte Block ein Satz von 256 zusammenhängenden Netzwerknummern der Klasse C ist.

In diesem Beispiel weist der Internet Service Provider (ISP) dem DSL-Teilnehmer nur eine einzige IP-Adresse zu: 171.68.1.1/24. Die zugewiesene IP-Adresse ist eine registrierte eindeutige IP-Adresse und wird als globale interne Adresse bezeichnet. Diese registrierte IP-Adresse wird vom gesamten privaten Netzwerk zum Surfen im Internet verwendet, und auch von Internetbenutzern, die aus dem öffentlichen Netzwerk kommen, um den Webserver im privaten Netzwerk zu erreichen.

Das private LAN, 192.168.0.0/24, ist mit der Ethernet-Schnittstelle des NAT-Routers verbunden. Dieses private LAN enthält mehrere PCs und einen Webserver. Der NAT-Router ist so konfiguriert, dass er die nicht registrierten IP-Adressen (innerhalb lokaler Adressen), die von diesen PCs stammen, in eine einzige öffentliche IP-Adresse (innerhalb global - 171.68.1.1) übersetzt, um das Internet zu durchsuchen.

Die IP-Adresse 192.168.0.5 (Webserver) ist eine Adresse im privaten Adressbereich, die nicht an das Internet weitergeleitet werden kann. Die einzige sichtbare IP-Adresse, über die Benutzer des öffentlichen Internets den Webserver erreichen können, ist 171.68.1.1. Daher ist der NAT-Router so konfiguriert, dass er eine Eins-zu-Eins-Zuordnung zwischen der IP-Adresse 171.68.1.1, Port 80 (Port 80 wird zum Surfen im Internet verwendet) und 192.168.0.5, Port 80, durchführt. Diese Zuordnung ermöglicht Internetbenutzern auf der öffentlichen Seite den Zugriff auf den internen Webserver.

Diese Netzwerktopologie und Beispielkonfiguration kann für die Cisco 827, 1417, SOHO77 und 1700/2600/3600 ADSL WIC verwendet werden. Als Beispiel wird in diesem Dokument der Cisco 827 verwendet.

Konfigurieren

In diesem Abschnitt werden die Informationen angezeigt, die Sie zum Konfigurieren der in diesem Dokument beschriebenen Funktionen verwenden können.

Hinweis: Weitere Informationen zu den in diesem Dokument verwendeten Befehlen finden Sie im IOS Command Lookup Tool (nur registrierte Kunden) .

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet.

827spat.gif

Konfiguration

Cisco 827 
Current Configuration:
! 
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 

!--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network !--- that is network address translated. 

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

Überprüfung

Aus der Ausgabe des Befehls show ip nat translation wird als Inside local die konfigurierte IP-Adresse ermittelt, die dem Webserver im internen Netzwerk zugewiesen ist. Beachten Sie, dass 192.168.0.5 eine Adresse im privaten Adressraum ist, die nicht an das Internet weitergeleitet werden kann. Die globale interne Adresse ist die IP-Adresse des internen Hosts, d. h. des Webservers, wie er dem externen Netzwerk angezeigt wird. Diese Adresse ist denjenigen bekannt, die versuchen, über das Internet auf den Webserver zuzugreifen.

Der lokale Outside ist die IP-Adresse des externen Hosts, so wie sie dem internen Netzwerk angezeigt wird. Es handelt sich nicht unbedingt um eine rechtmäßige Adresse. Sie wird jedoch aus einem Adressraum zugewiesen, der innen geroutet werden kann.

Die externe globale Adresse ist die IP-Adresse, die einem Host im externen Netzwerk vom Eigentümer des Hosts zugewiesen wird. Die Adresse wird aus einer Adresse oder einem Netzwerkbereich zugewiesen, die bzw. der global geroutet werden kann.

Beachten Sie, dass die Adresse 171.68.1.1 mit der Portnummer 80 (HTTP) zu 192.168.0.5 Port 80 übersetzt wird und umgekehrt. Aus diesem Grund können Internetbenutzer den Webserver durchsuchen, obwohl sich der Webserver in einem privaten Netzwerk mit einer privaten IP-Adresse befindet.

Weitere Informationen zur Fehlerbehebung bei NAT finden Sie unter Verifying NAT Operation and Basic NAT Troubleshooting. 

827#
827#show ip nat translation
Pro Inside global      Inside local      Outside local       Outside global
tcp 171.68.1.1:80      192.168.0.5:80    ---                 ---
tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000
827#

Fehlerbehebung

Um Probleme bei der Adressübersetzung zu beheben, können Sie den Begriff mon und detaillierte ip nat-Befehle auf dem Router ausgeben, um festzustellen, ob die Adresse richtig übersetzt wird. Die sichtbare IP-Adresse, über die externe Benutzer den Webserver erreichen können, lautet 171.68.1.1. So werden beispielsweise Benutzer der öffentlichen Seite des Internets, die versuchen, den Port 80 (www) 171.68.1.1 zu erreichen, automatisch an den Port 80 (www) 192.168.0.5 umgeleitet, der in diesem Fall der Webserver ist.

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
02-Dec-2013
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.