什麽是permit-inside功能
若內網有一臺服務器映射成為一個公網IP地址,並且將該公網IP註冊至一個域名中。此時內網用戶通過直接輸入域名訪問該服務器,域名服務器將該服務器的地址解析為已經註冊的公網IP地址。默認情況下,當內網用戶通過公網地址來訪問該服務器時,路由器將認為該流量為正常的穿越流量,因此將為該流量做正常的源地址轉換;而在做源地址轉換之前,由於檢查到該公網IP與外網口在同一網段,因此在做源地址轉換前需要預先發送ARP請求來解析該公網IP的MAC地址;但由於實際外網口網段中不存在一臺配置為該IP的終端,ARP請求將始終得不到響應,因此源地址轉換也將失敗。最終,內網用戶訪問該服務器公網地址的現象為:路由器上無相關轉換表項,只在出口發出ARP請求,並且內網用戶得不到任何數據應答
當路由器上配置了permit-inside功能,如下:
ip nat inside source static tcp 192.168.1.254 23 10.0.0.1 23 permit-inside
此時,在內網192.168.1.2上telnet 10.0.0.1,在路由器上查看轉換表項如下:
RSR50-40#sh ip nat tran
Pro Inside global Inside local Outside local Outside global
tcp 10.0.0.1:1046 192.168.1.2:1046 10.0.0.1:23 192.168.1.254:23
當配置了permit-inside功能後,路由器對相應數據包的源、目IP都進行了轉換:
|
|
源IP地址 |
目的IP地址 |
|
轉換前 |
192.168.1.2:1046 |
10.0.0.1:23 |
|
轉換後 |
10.0.0.1:1046 |
192.168.1.254:23
|
什麽是permit-inside功能