C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索
返回列表 发新帖
查看: 11787|回复: 2

[IPV4/IPV6(NGN)] [分享]NAT中先路由还是先NAT的问题精辟分析(ZT) [复制链接]

Male不在线
parmach

军衔等级:

亚星游戏官网-yaxin222  下士

注册:2010-2-10
发表于 2011-4-18 15:24:05 |显示全部楼层
总结:
进入配置了nat inside的端口后,是先路由,如果发现路由到了nat outside的端口,再nat。
进入配置了nat outside的端口后,是先nat,转换后再根据路由表路由
举例:
先容
本文提供了使用ip nat outside source list命令的配置样例,并简要描述了NAT过程中IP数据包所起的变化。让大家以下面的网络拓扑为例。
开始之前
规则
关于文件规则的更多信息,请参阅 Cisco技术提示规则.
前提条件
本文没有特殊的前提条件。
使用的组件
本文不局限于特殊的App和硬件版本。
配置
本部分向您提供配置本文所述功能所需要的信息。
网络图
本文使用下图所示的网络设置。

从Router 2514w的loopback0接口(172.16.88.1)到Router 2501e的171.68.1.1的ping 数据包成功。在Router 2514x的外部接口上,该包有源地址(SA)172.16.88.1 和目的地地址(DA)171.68.1.1。如果SA允许在 ip nat outside source list命令使用的访问表1中,那么该SA将被转换成NAT 池 Net171中的地址。请注意, ip nat outside source list 命令 参考了 NAT 池 "Net171"。在本例中,该地址被转换成 171.68.16.10。转换之后,Router 2514x 在路由表中搜索目的地并传送数据包。Router 2501e在入局接口上发现这个数据包,SA 为171.68.16.10,DA 为171.68.1.1。Router 2501e发出一个互联网控制消息协议(ICMP)响应来答复171.68.16.10。如果它没有路由,那么它就丢弃这个数据包。在本例中,由于Router 2501e有一个(默认的)路由,因此,Router 2501e使用 171.68.1.1 的SA和 171.68.16.10的DA将数据包发送到Router 2514x。Router 2514x发现这个包并检查去往171.68.16.10 地址的路由。如果Router 2501e没有一个路由,那它就发送ICMP不可到达的应答来作响应。在本例中,由于它有去往171.68.16.10的路由,因此它将这个数据包转换回172.16.88.1地址,并将该包路由出自己的外部接口。
配置
Router 2514w
hostname rp-2514w  
!  
interface Loopback0  
ip address 172.16.88.1 255.255.255.0  
!  
interface Serial0  
ip address 172.16.191.254 255.255.255.252  
no ip mroute-cache  
!  
ip classless  
ip route 0.0.0.0 0.0.0.0 172.16.191.253  
!



Router 2514x
hostname rp-2514x  
!  
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0  
ip nat outside source list 1 pool Net171  
!  
interface Ethernet1  
ip address 171.68.192.202 255.255.255.0  
ip nat inside  
no ip mroute-cache  
no ip route-cache  
!  
interface Serial1  
ip address 172.16.191.253 255.255.255.252  
ip nat outside  
no ip mroute-cache  
no ip route-cache  
clockrate 2000000  
!  
ip classless  
ip route 172.16.88.0 255.255.255.0 172.16.191.254  
ip route 171.68.1.0 255.255.255.0 171.68.192.201  
ip route 171.68.16.0 255.255.255.0 Serial1  
access-list 1 permit 172.16.88.0 0.0.0.255  
!



Router 2501e
hostname rp-2501e  
!  
interface Loopback0  
ip address 171.68.1.1 255.255.255.0  
!  
interface Ethernet0  
ip address 171.68.192.201 255.255.255.0  
!  
ip classless  
ip route 0.0.0.0 0.0.0.0 171.68.192.202  
!



检验
此配置目前没有检验程序。
故障检修
本部分向您提供可以用于配置排障的信息。
以下输出是从Router 2514w的 loopback0 接口地址(172.16.188.1)ping到Router 2501e的loopback0接口地址(171.68.1.1)时,在Router 2514x上运行debug ip packet 和 debug ip nat 命令的结果。
rp-2514x#
NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [40]  
IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len  
100, forward ICMP type=8, code=0
NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [40]  
IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len  
100, forward ICMP type=0, code=0  


NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [41]  
IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len  
100, forward ICMP type=8, code=0  
NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [41]  
IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len  
100, forward ICMP type=0, code=0  


NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [42]  
IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len  
100, forward ICMP type=8, code=0  
NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [42]  
IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len  
100, forward ICMP type=0, code=0  


NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [43]  
IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len  
100, forward ICMP type=8, code=0  
NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [43]  
IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len  
100, forward ICMP type=0, code=0  


NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [44]  
IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len  
100, forward ICMP type=8, code=0  
NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [44]  
IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len  
100, forward ICMP type=0, code=0
总结
使用 ip nat outside source list 命令(动态NAT)而不是 ip nat outside source static 命令(静态NAT)的主要区别在于,在(为NAT配置的)路由器检验数据包的转换标准之前,在转换表中没有条目。在上例中,SA为172.16.88.1的数据包(进入Router 2514x的外部接口)符合访问列表1,即 ip nat outside source list 命令使用的标准。因此,在内部网络的包可以与Router 2514w的loopback0接口通信之前,必须从外部网络始发数据包。
本例中需要注意两点:
第一,当数据包从外部传输到内部时,先进行转换,然后检查目的地的路由表。当数据包从内部传输到外部时,先检查目的地的路由表,然后进行转换。
第二,使用上述每条命令时,记录IP数据包的哪个部分被转换很重要。下表给出了一个纲要:
命令
操作
ip nat outside source list
转换IP包的源,这些IP包正在从外部传输到内部
转换IP包的目的地,这些IP包正在从内部传输到外部
ip nat inside source list
转换IP包的源,这些IP包正在从内部传输到外部
转换IP包的目的地,这些IP包正在从外部传输到内部


以上表明有多种方法可以转换包。根据您的具体要求,您应该确定如何定义NAT接口(内部或外部),以及路由表在转换之前或之后应该包含哪些路由。一定要记住,包被转换的部分取决于该包传输的方向以及您如何配置NAT。

举报本楼

本帖有 2 个回帖,您需要登录后才能浏览 登录 | 注册
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-16 03:46 , Processed in 0.177251 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图