Exemplo de Configuração do NAT

Este capítulo fornece um exemplo da utilização do NAT em uma rede privada quando essa rede utiliza endereços registrados e não-registrados.

Nesse exemplo, o NAT é utilizado para separar um segmento de uma rede privada, que utiliza endereços registrados, do restante da rede, que utiliza endereços não-registrados. Como mostrado na Figura 4-1, os segmentos da rede privada que utilizam endereços não-registrados (rede 10.0.0.0 e rede 11.0.0.0) possuem um servidor FTP e um servidor de bancos de dados que precisam estar acessíveis a partir da Internet. As estações de trabalho da rede 10.0.0.0 devem poder acessar o restante da rede privada e a Internet. O segmento da rede privada que utiliza endereços registrados (rede 130.57.0.0) possui um servidor Web, um servidor DNS e um servidor de gateway SMTP que devem estar acessíveis a partir das estações de trabalho do restante da rede privada.

Nesse exemplo, os seguintes endereços IP registrados foram obtidos de um IPS (Internet Service Provider) para a utilização do NAT: 130.57.100.1, 130.57.100.2, 130.57.100.3, 130.57.100.4 e 130.57.110.1. Esses endereços devem ser mapeados para o servidor FTP, o servidor de bancos de dados e as estações de trabalho das redes 10.0.0.0 e 11.0.0.0.

Figura 4-1.
Utilizar o NAT em uma Rede Privada

Para esse exemplo, é necessário que o administrador complete as seguintes tarefas:

• Adicionar os endereços IP secundários à interface do roteador do NAT a qual foi atribuído o endereço IP 130.57.0.1.
• Habilitar a conversão de endereços na interface do roteador do NAT.
• Criar uma tabela de conversão de endereços de rede que mapeie os endereços IP secundários para os hosts privados das redes 10.0.0.0 e 11.0.0.0.
• Criar rotas estáticas (padrão) nos roteadores para habilitar o roteamento entre os segmentos da rede privada se os roteadores estiverem configurados para filtrar pacotes RIP (Routing Information Protocol).

Para executar essas tarefas, complete os seguintes passos:

1. No console do servidor, digite

   LOAD INETCFG

2. Selecione Protocolos.

3. Caso o TCP/IP não tenha sido configurado nas interfaces do roteador do NAT, habilite o TCP/IP para cada interface em Protocolos e vincule os endereços IP às interfaces pública e privada em Vinculações.

   Nesse exemplo, vincule 130.57.0.1 à interface pública e vincule 10.0.0.254 à interface privada.

4. Pressione a tecla Esc até ser solicitado a gravar as mudanças e selecione Sim.

5. Selecione Manage Configuration (Gerenciar Configuração) > Modificar o AUTOEXEC.NCF.

6. Digite os comandos para vincular endereços IP secundários depois da linha que executa o INITSYS.NCF.

   No exemplo, digite as seguintes linhas:

   ADD SECONDARY IPADDRESS 130.57.100.1

   ADD SECONDARY IPADDRESS 130.57.100.2

   ADD SECONDARY IPADDRESS 130.57.100.3

   ADD SECONDARY IPADDRESS 130.57.100.4

   ADD SECONDARY IPADDRESS 130.57.110.1

7. Pressione a tecla Esc até ser solicitado a gravar as mudanças e selecione Sim.

8. Pressione a tecla Esc até retornar ao menu Internetworking Configuration (Configuração de Rede).

9. Selecione Vinculações.

10. Selecione a interface pública, que tem um endereço registrado vinculado a ela.

    Nesse exemplo, selecione a interface vinculada ao endereço 130.57.0.1.

11. Selecione Expert TCP/IP Bind Options (Opções Especializadas de Vinculação de TCP/IP).

12. Selecione Network Address Translation (NAT).

13. Para Status, selecione Static Only (Apenas Estático).

14. Selecione Network Address Translation Table (Tabela de NAT) e pressione a tecla Ins.

    Digite os seguintes pares de endereço público e endereço privado:

    Endereço público Endereço privado
    130.57.100.1 10.0.0.1
    130.57.100.2 10.0.0.2
    130.57.100.3 10.0.0.3
    130.57.100.4 10.0.0.4
    130.57.110.1 11.0.0.1

15. Pressione a tecla Esc até ser solicitado a gravar as mudanças e selecione Sim.

16. Pressione a tecla Esc para retornar ao menu Internetworking Configuration (Configuração de Rede).

17. Se o roteador de terceiros que conecta a rede 10.0.0.0 à rede 11.0.0.0 estiver filtrando pacotes RIP de saída, adicione uma rota estática ao roteador do NAT para a rede 11.0.0.0 com um próximo salto de 10.0.0.253.

    Verifique também se cada host da rede 10.0.0.0 que terá permissão para acessar a rede 11.0.0.0 possui uma rota estática para o roteador com o endereço IP 10.0.0.253.

    Para configurar uma rota estática no roteador do NAT, complete os seguintes subpassos:

    1. No menu Internetworking Configuration (Configuração de Rede), selecione Protocolos > TCP/IP.

    2. Se necessário, mude o status de LAN Static Routing (Roteamento Estático de LAN) de Desabilitado para Habilitado.

    3. Selecione o campo LAN Static Routing Table (Tabela de Roteamento Estático de LAN).

    4. Pressione a tecla Ins para adicionar uma rota estática TCP/IP.

    5. Para o Tipo de Rota, selecione Rede.

    6. Para o IP Address of Network/Host (Endereço IP de Rede/Host), digite 11.0.0.0.

    7. Para a Máscara da Sub-rede, aceite o padrão, FF.0.0.0, ou digite a máscara de subrede para sua rede.

    8. Para o Next Hop Router on Route (Próximo Roteador de Salto na Rota), digite 10.0.0.253.

    9. Pressione a tecla Esc e selecione Sim para atualizar o banco de dados.

    10. Pressione a tecla Esc e selecione Sim para atualizar a configuração do TCP/IP.

    11. Pressione a tecla Esc para retornar ao menu Internetworking Configuration (Configuração de Rede).

18. Se o roteador do NAT estiver filtrando pacotes RIP de entrada, adicione uma rota estática padrão para a rede 130.57.0.0 no roteador de terceiros que conecta a rede 11.0.0.0 ao restante da rede.

    Verifique também se cada host da rede 10.0.0.0 que tem permissão para acessar a Internet utiliza a rota 10.0.0.254 vinculada à interface do NAT como a rota padrão para a rede 130.57.0.0.

    NOTA: Como a rede 10.0.0.0 não está utilizando endereços registrados, os pacotes RIP de entrada e saída devem ser sempre filtrados. Essa filtragem permite que o NAT oculte a rede 10.0.0.0 ao mesmo tempo em que permite que seus hosts acessem a Internet.

19. Se o roteador de terceiros que conecta a rede 130.57.0.0 à Internet estiver filtrando os pacotes RIP de entrada, adicione uma rota padrão para a Internet no roteador do NAT com um próximo salto de 130.57.0.254.

    Verifique também se cada host na rede 130.57.0.0 com permissão para acessar a Internet possui uma rota padrão para o roteador com o endereço IP 130.57.0.254.

    Para configurar uma rota estática padrão no roteador do NAT, complete os seguintes subpassos:

    1. No menu Internetworking Configuration (Configuração de Rede), selecione Protocolos > TCP/IP.

    2. Se necessário, mude o status de LAN Static Routing (Roteamento Estático de LAN) de Desabilitado para Habilitado.

    3. Selecione o campo LAN Static Routing Table (Tabela de Roteamento Estático de LAN).

    4. Pressione a tecla Ins para adicionar uma rota estática TCP/IP.

    5. Para Tipo de Rota, selecione Rota Default.

    6. Para Next Hop Router on Route (Próximo Roteador de Salto na Rota), digite 130.57.0.254.

    7. Pressione a tecla Esc duas vezes e selecione Sim para atualizar o banco de dados.

    8. Pressione a tecla Esc e se for solicitado, selecione Sim para atualizar a configuração do TCP/IP.

       Você é solicitado a atualizar a configuração do TCP/IP se habilitar LAN Static Routing (Roteamento Estático de LAN) no Passo 19b.

    9. Pressione a tecla Esc para retornar ao menu Internetworking Configuration (Configuração de Rede).

20. Para que as rotas estáticas tenham efeito imediato, selecione Reinicializar o Sistema e selecione Sim para ativar as mudanças.