Cisco Router NAT yapılandırmasındaki bu üç seçenek ne anlama geliyor?

10

Bir IP: Port kombinasyonunun her zaman başka bir IP: Port kombinasyonuyla eşleştirildiği standart bir Statik PAT yapılandırmasında, yapılandırılabilecek iç / dış / kaynak / hedefin üç olası kombinasyonu vardır.

Örneğin, bu bir yapılandırma örneğidir:

ip nat inside source static tcp 10.0.20.13 8080 2.2.2.33 80
       ^^^^^^^^^^^^^

Layman'ın terimleriyle, bu yapılandırma herhangi bir Dış ana bilgisayarın 80 numaralı bağlantı noktası üzerinden IP 2.2.2.33 ile bir TCP bağlantısı başlatmasına izin verir. Bu paket yönlendiriciye çarptığında, hedef IP Adresi ve Bağlantı Noktası ( 2.2.2.33:80) dönüştürülür 10.0.20.13:8080.

Bunun tersi, 10.0.20.13 içerisindeki ana bilgisayar 8080 kaynak bağlantı noktasına sahip bir TCP paketi gönderirse, bu paket yönlendiriciyi geçtikçe, kaynak IP ve Port ( 10.0.20.13:8080) 'a çevrilirse de olur 2.2.2.33:80. (bu , Inside ana bilgisayardan başlatılandan ziyade genellikle bir yanıt paketi olur )

Yukarıdaki işaretli bölüm için üç yapılandırma seçeneğinin tümü şunlardır:

Router(config)#ip nat inside ?
  destination  Destination address translation
  source       Source address translation

Router(config)#ip nat outside ?
  source  Source address translation

Aslında, şunları yapılandırabilirsiniz:

  • ip nat kaynak statik tcp içinde {IP} {Port} {IP} {Port}
  • ip nat hedef statik tcp içinde {IP} {Port} {IP} {Port}
  • ip nat dış kaynak statik tcp {IP} {Port} {IP} {Port}

Bu seçenekler nasıl farklıdır ve üç seçenekten her biri ne zaman kullanılır? Her birinin cihazdan gelen paketleri nasıl manipüle edeceğini tanımlamak için lütfen yukarıda yaptığım gibi layman terimlerini kullanın.

Ayrıca, kimse bana neden dış hedef seçeneği olmadığını söyleyebilir mi?

cisco  router  nat  cisco-ios  cisco-commands 
Eddie
kaynak
2
@Eddie, Aksine kullanıcı kılavuzları regurgitating hepimizden daha, bu bir göz atın cisco.com/c/en/us/support/docs/ip/... veya bu groupstudy.com/archives/ccielab/200702/msg01284.html ve bunun size yardımcı olup olmadığına bakın. Bundan sonra, hala belirli sorularınız varsa size yardımcı olmaktan mutluluk duyarız.
Ron Trunk
Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:

7

Bunu çok dikkatli düşünün.

İç kaynak, kaynak adresini ağınızın içinden gelen trafikten çevirmek istediğiniz anlamına gelir. Bu, genel internette özel adresleri kullanmanıza izin veren tipik "ev ağı" düzenlemesidir. Tabii ki, bu sürüm için tek kullanım bu değil.

İç hedef, bir dış adresten belirli bir hedef taşıma protokolüne ve bağlantı noktasına gelen trafiğin belirli bir iç adrese gitmesini istediğiniz anlamına gelir. Ev kullanıcıları, özel adresli bir web sunucusu gibi bir şeyin genel İnternet'ten erişmesine izin vermek için bunu yapar. Tabii ki, bu sürüm için tek kullanım bu değil.

Dış kaynak, dışarıdan gelen trafiği, bir iç adresten gelmiş gibi görünecek şekilde çevirir. Çakışan IP adresi aralıklarına sahip şirketlerin birleştiği ve ağları bağlamaya başlaması gereken durumlarda yararlı olabilir. Normalde iç adreslerle çakışan dış kaynak adresleri olan dışarıdan gelen trafiğin kaynak adreslerini kullanılabilir bir iç adres aralığındaki kaynak adres adreslerine çevirebilirsiniz.

Liman yönlendirme işleminin tersi olduğundan, dış hedef gerçekten mantıklı değildir. Bu, içeriden kaynaklanan, belirli bir dış taşıma protokolüne ve bağlantı noktasına giden trafiği tek bir dış adresle sınırlar.

Ron Maupin
kaynak
İçin yaptığınız açıklama inside destination"layman'ın açıklaması" ile eşleşiyor gibi görünüyor inside source. Bunun dışında, örneğim gelen trafiğin hedef bağlantı noktası # 80değerini olarak olarak değiştirdi 8080. Açıklamanız # numaralı bağlantı noktasının değişmediği anlamına geliyor mu? Her iki durumda da, inside destinationve arasındaki tek fark bu olamaz, değil inside sourcemi?
Eddie
Fark, trafiğin kaynağıdır. inside sourceİçeride trafik akışı kaynaklanır ve inside destinationtrafik dışarıdan kaynaklandığı akar. Kaynaklanan trafiğin bir yanıta inside sourceihtiyacı varsa , yanıt için geçici bir tür inside destinationişlemi gerçekleşir. Bağlantı noktası numarası, trafik bir taraftan diğer tarafa giderken değiştirilebilir, ancak tüm yönlendiriciler (özellikle ev yönlendiricileri) bunu desteklemez.
Ron Maupin
4

Temellerden başlamalıyız, bu yüzden NAT terminolojisini gözden geçirelim. NAT IP adreslerini IP paketlerinde çevirir, değil mi? Bu ne anlama geliyor? Temelde, serap yaratıyor - evet, optik yanılsamalar. Örneğin, tipik bir NAT yapılandırmasında, özel adresli LAN, harici yönlendirici arabiriminin genel IP adresini kullanarak Internet'e eriştiğinde, bu sunucular Internet sunucuları için bu genel IP'ye (veya genel IP havuzundan gelen IP'lere) sahip olarak görünür. NAT elbette yeni fiziksel ana bilgisayarlar oluşturmaz - ancak yeni tür sanal varlıklar oluşturur - bu örnekte LAN ana bilgisayarları kendilerini 192.168.1.x olarak görüyorlar, ancak İnternet sunucuları bunları 203.0.113.x olarak görüyor - bir grup fiziksel ana bilgisayar, ancak iki grup IP adresi. İki farklı (mantıksal) konak kümesi. Göz aldanması. Ve terminoloji şudur:

  • inside local - iç ana bilgisayarların arabirimlerine atanan ve birbirlerini gördükleri gibi "gerçek" IP adresleri
  • iç dünya - dış dünyanın gördüğü gibi "serap" IP adresleri
  • dış küresel - dış ana bilgisayarların kendileri ve (neredeyse) tüm Internet tarafından gördükleri "gerçek" IP adresleri
  • dış yerel - harici ana bilgisayarları gördüğümüz gibi "serap" IP adresleri (NAT'dan uygun şekilde tercüme etmesini istersek)

Gördüğünüz gibi, ağımız ve İnternet veya başka bir harici ağ arasında bir ayrım yapmak zorundayız. Bunu yönlendiricimizin IP arayüzlerini içeride ip nat veya dışarıda ip nat olarak işaretleyerek yapıyoruz , katılıyor musunuz?

Şimdi NAT'ın nasıl uygulandığını hatırlayalım: çevirilerle ilgili girişleri içeren özel tablolar tutar. Ve önemli olan, bu girdilerin statik veya dinamik olarak oluşturulabilmesidir . Dinamik olarak oluşturulmuş girişler için, trafik yönü önemlidir - trafik içeriden dışarıya doğru mı başlatılır? Statik girişler için bu böyle değildir - simetriktir . Statik anahtar sözcüğü içeren NAT yapılandırma ifadeleri , çalışan yapılandırmaya yerleştirildikten hemen sonra statik girdiler oluşturur; dinamik anahtar kelimeye sahip olanlar ilginç trafiği izler ve dinamik olarak çeviri girişleri oluşturur, bu da sonunda zaman aşımına uğrar.

Son sorunuz hakkında zaten spekülasyon yapabiliriz: neden dış hedef seçeneği yok? ip nat içindeki kaynak statik , tam olarak tanımladığınız şekilde çeviri yapan statik NAT girişi oluşturur, ancak bu yalnızca belirli bir taraftan başlatılan trafiği içermez - statik NAT girişleri simetriktir. Yani, nat dışında hedef statik ip çeviri için statik bir giriş yaratacak hedef ağınıza giren trafiğin IP adreslerini dış VE kaynak giden trafik için IP adresleri - ama bu tam olarak ne nat iç kaynak statik IPkomut yapar! Yani, bu komuta sahip olmak sadece gereksizdir. Tek fark, temel olarak aynı komutun bir veya başka bir formunu kullanırken kaynağı hedef ip ile değiştirmenizdir.

İlk ifadenizle ilgili olarak, "Yapılandırılabilecek üç olası iç / dış / kaynak / hedef kombinasyonu vardır" - bu tam olarak böyle değildir. Mesele şu ki, genel olarak konuşursak, NAT yapılandırma ifadeleri "matematik formülleri" değildir ve tamamen bağımsız anahtar kelimelerden mantıksal olarak oluşturulmuş olarak düşünülmemelidir. Bu nedenle, her "kombinasyon" belirli bir görev için bir çözüm sunar, örneğin, hedef listesi içindeki ip nat , belirli algoritmayı kullanan ve UDP ile çalışmayan sunucu TCP yük dengelemesini yapılandırmak için kullanılır. Ayrıca, (modern IOS'larda) hedef statik komut içinde hiçbir ip nat yoktur - aslında statik seçenekle denediniz mi?

Bu Cisco belgesinde yapılandırma örnekleri de dahil olmak üzere NAT kullanımıyla ilgili belirli senaryoları görebilirsiniz: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/12-2sx /nat-12-2sx-book/iadnat-addr-consv.html

Son olarak, bazen NAT'ın istediğiniz şey olmadığını belirtmek isterim, örneğin, bu "kanonik soru" için cevabıma bakın: /server/55611/loopback-to-forwarded-public- iP adres gelen yerel ağ-saç tokası-nat / 733532 # 733532

PS Daha fazla ayrıntıya girmeli miyim?

Sergio
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.