Cisco路由交換-NAT詳解三(區域無關NAT)
阿新 • • 發佈:2018-06-12
Cisco、NAT概述
上篇文章介紹了在不同區域下各個參數搭配使用的不同效果(實現tcp的負載均衡、地址偽裝),今天給大家帶了一個不太被常用但是確實很好用的NAT配置方法。大家應該很清楚常規的NAT配置下經常會碰到NAT回流的問題(內部的服務器映射給公網使用,常規ip nat inside source static映射後,外網用戶可以正常訪問該服務器,但是內網用戶則無法使用該服務器映射公網地址訪問服務器)。歸根結底問題出在內網用戶訪問其公網地址時因為數據包處理邏輯問題無法匹配到該靜態NAT,而是做完動態NAT後直接到達該公網地址了。現在區域無關NAT改變了設備在處理NAT時的數據包處理流程,無論哪個方向到來的數據包都會先匹配NAT策略,這樣輕松的解決了NAT回流問題。
實驗
要求
將Client-2作為內網Server映射到公網地址200.1.1.4提供telnet服務
Client-1和外網Server能同時使用200.1.1.4這個地址telnet管理Client-2
拓撲
image
基礎配置
Client-1:
Client-1(config)#inter f0/0
Client-1(config-if)#ip add 192.168.2.2 255.255.255.0
Client-1(config-if)#no shut
Client-1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
Client-1(config)#username test privilege 15 password test
Client-1(config)#line vty 0 15
Client-1(config-line)#login local
Client-2:
Client-2(config)#inter f0/0
Client-2(config-if)#ip add 192.168.2.3 255.255.255.0
Client-2(config-if)#no shut
Client-2(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
Client-2(config)#username test privilege 15 password test
Client-2(config)#line vty 0 15
Client-2(config-line)#login local
GW-WAN:
GW-WAN(config)#inter f0/0
GW-WAN(config-if)#ip add 192.168.2.1 255.255.255.0
GW-WAN(config-if)#ip nat inside
GW-WAN(config-if)#no shut
GW-WAN(config-if)#inter f0/1
GW-WAN(config-if)#ip add 200.1.1.2 255.255.255.0
GW-WAN(config-if)#ip nat outside
GW-WAN(config-if)#no shut
GW-WAN(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1
Internet:
Internet(config)#inter f0/0
Internet(config-if)#ip add 200.1.1.1 255.255.255.0
Internet(config-if)#no shut
Internet(config-if)#inter f0/1
Internet(config-if)#ip add 100.1.1.1 255.255.255.0
Internet(config-if)#no shut
Server:
Server(config)#inter f0/0
Server(config-if)#ip add 100.1.1.100 255.255.255.0
Server(config-if)#no shut
Server(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.1
Server(config)#username test priv 15 password test
Server(config)#line vty 0 15
Server(config-line)#login local
區域無關NAT配置
GW-WAN(config)#ip access-list ex test
GW-WAN(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 any #匹配內網地址到所有地方的流量
GW-WAN(config)#ip nat source list test interface f0/1 overload #配置動態PAT保障內網用戶正常上網
GW-WAN(config)#ip nat source static 192.168.2.3 200.1.1.4 #把Client-2映射成公網地址,提供服務
GW-WAN(config)#inter f0/0
GW-WAN(config-if)#ip nat enable #開啟區域無關NAT功能
GW-WAN(config-if)#inter f0/1
GW-WAN(config-if)#ip nat enable #開啟區域網關NAT功能
測試
Client-1使用公網地址telnet管理Client-2
Client-1#telnet 200.1.1.4
Trying 200.1.1.4 ... Open
User Access Verification
Username: test
Password:
Client-2#
Client-2#exit
[Connection to 200.1.1.4 closed by foreign host]
Server使用公網地址telnet管理Client-2
Server#telnet 200.1.1.4
Trying 200.1.1.4 ... Open
User Access Verification
Username: test
Password:
Client-2#
Client-2#exit
[Connection to 200.1.1.4 closed by foreign host]
GW-WAN上轉換表項
GW-WAN#show ip nat nvi translations
Pro Source global Source local Destin local Destin global
tcp 100.1.1.100:37514 100.1.1.100:37514 200.1.1.4:23 192.168.2.3:23
tcp 200.1.1.2:31321 192.168.2.2:31321 200.1.1.4:23 192.168.2.3:23
--- 200.1.1.4 192.168.2.3 --- ---
Cisco IOS NAT告一段落,接下來(openflow or ASA NAT )
在現在的設備中通常使用雙向NAT解決,Cisco ASA中可以使用DNS重寫功能實現。
Cisco路由交換-NAT詳解三(區域無關NAT)