المقدمة
يوضح هذا المستند أنه تتم معالجة حركات الأمر باستخدام NAT بناء على الإتجاه الذي تنتقل فيه الحزمة داخل الشبكة أو خارجها.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى برنامج Cisco IOS® Software، الإصدار 12.2(27).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
معلومات أساسية
يوضح هذا المستند أن الترتيب الذي تتم فيه معالجة الحركات باستخدام ترجمة عنوان الشبكة (NAT) يستند إلى ما إذا كانت الحزمة تنتقل من الشبكة الداخلية إلى الشبكة الخارجية أو من الشبكة الخارجية إلى الشبكة الداخلية.
نظرة عامة على NAT
في هذا طاولة، عندما ينجز nat العالمي إلى محلي، أو محلي إلى شامل، ترجمة مختلف في كل تدفق.
| من الداخل إلى الخارج |
من الخارج إلى الداخل |
- إذا كان بروتوكول IPSec، فتحقق من قائمة الوصول إلى الإدخال.
- فك التشفير - لتقنية تشفير Cisco (CET) أو IPSec
- فحص قائمة الوصول إلى الإدخال
- فحص حدود معدل الإدخال
- محاسبة المدخلات
- إعادة التوجيه إلى ذاكرة التخزين المؤقت للويب
- توجيه السياسات
- توجيه
- nat من الداخل إلى الخارج (محلي إلى عالمي ترجمة)
- تشفير (خريطة تحقق وعلامة للتشفير)
- فحص قائمة الوصول إلى الإخراج
- التفتيش (التحكم في الوصول المستند إلى السياق (CBAC)
- اعتراض TCP
- تشفير
- طابور
|
- إذا كان بروتوكول IPSec، فتحقق من قائمة الوصول إلى الإدخال.
- فك التشفير - ل CET أو IPSec
- فحص قائمة الوصول إلى الإدخال
- فحص حدود معدل الإدخال
- محاسبة المدخلات
- إعادة التوجيه إلى ذاكرة التخزين المؤقت للويب
- NAT من الخارج إلى الداخل (ترجمة عالمية إلى محلية)
- توجيه السياسات
- توجيه
- تشفير (خريطة تحقق وعلامة للتشفير)
- فحص قائمة الوصول إلى الإخراج
- فحص CBAC
- اعتراض TCP
- تشفير
- طابور
|
تشكيل ومخرج NAT
يوضح هذا المثال كيفية تأثير ترتيب العمليات على NAT. في هذه الحالة، يظهر فقط nat والتوجيه.
في المثال السابق، يتم تكوين الموجه-A لترجمة العنوان المحلي الداخلي 172.31.200.48 إلى 172.16.47.150، كما هو موضح في هذا التكوين.
!
version 11.2
no service udp-small-servers
no service tcp-small-servers
!
hostname Router-A
!
enable password ww
!
ip nat inside source static 172.31.200.48 172.16.47.150
!--- This command creates a static NAT translation
!--- between 172.31.200.48 and 172.16.47.150
ip domain-name cisco.com
ip name-server 172.31.2.132
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 172.16.47.161 255.255.255.240
ip nat inside
!--- Configures Serial0 as the NAT inside interface
no ip mroute-cache
no ip route-cache
no fair-queue
!
interface Serial1
ip address 172.16.47.146 255.255.255.240
ip nat outside
!--- Configures Serial1 as the NAT outside interface
no ip mroute-cache
no ip route-cache
!
no ip classless
ip route 0.0.0.0 0.0.0.0 172.16.47.145
!--- Configures a default route to 172.16.47.145
ip route 172.31.200.0 255.255.255.0 172.16.47.162
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
password ww
login
!
end
يشير جدول الترجمة إلى أن الترجمة المقصودة موجودة.
Router-A#show ip nat translation
Pro Inside global Inside local Outside local Outside global
--- 172.16.47.150 172.31.200.48 --- ---
يتم أخذ هذا الإخراج من الموجه-A مع تمكين تفاصيل حزمة IP وتصحيح الأخطاء ip nat، ويتم إصدار إختبار اتصال من الجهاز 172.31.200.48 الموجه ل 172.16.47.142.
ملاحظة: تقوم أوامر تصحيح الأخطاء بإنشاء مقدار كبير من الإخراج. يمكنك إستخدامها فقط عندما تكون حركة المرور على شبكة IP منخفضة، وبالتالي لا تتأثر الأنشطة الأخرى على النظام بشكل سلبي. قبل إصدار أوامر تصحيح الأخطاء، راجع المعلومات المهمة في أوامر تصحيح الأخطاء.
IP: s=172.31.200.48 (Serial0), d=172.16.47.142, len 100, unroutable
ICMP type=8, code=0
IP: s=172.16.47.161 (local), d=172.31.200.48 (Serial0), len 56, sending
ICMP type=3, code=1
IP: s=172.31.200.48 (Serial0), d=172.16.47.142, len 100, unroutable
ICMP type=8, code=0
IP: s=172.31.200.48 (Serial0), d=172.16.47.142, len 100, unroutable
ICMP type=8, code=0
IP: s=172.16.47.161 (local), d=172.31.200.48 (Serial0), len 56, sending
ICMP type=3, code=1
IP: s=172.31.200.48 (Serial0), d=172.16.47.142, len 100, unroutable
ICMP type=8, code=0
IP: s=172.31.200.48 (Serial0), d=172.16.47.142, len 100, unroutable
ICMP type=8, code=0
IP: s=172.16.47.161 (local), d=172.31.200.48 (Serial0), len 56, sending
ICMP type=3, code=1
بما أن هناك ما من nat debug رسالة في الإنتاج سابق، ال حالي ساكن إستاتيكي ترجمة لا يستعمل، ولا المسحاج تخديد يتلقى مسار للغاية عنوان (172.16.47.142) في ه تحشد طاولة. تتمثل نتيجة الحزمة غير الموجهة في رسالة ICMP الذي يتعذر الوصول إليه، والتي يتم إرسالها إلى الجهاز الداخلي، ولكن الموجه-A لديه مسار افتراضي بقيمة 172.16.47.145، لذلك لماذا يعتبر المسار غير قابل للتوجيه؟
لا يحتوي الموجه-A على أي فئة IP تم تكوينها، مما يعني أنه إذا كانت الحزمة الموجهة لعنوان شبكة رئيسي (في هذه الحالة، 172.16.0.0) والتي توجد لها شبكات فرعية في جدول التوجيه، فإن الموجه لا يعتمد على المسار الافتراضي. بمعنى آخر، إذا قمت بإصدار الأمر no ip class دون ، يؤدي هذا إلى إيقاف قدرة الموجه على البحث عن المسار الذي يحتوي على أطول تطابق بت. لتغيير هذا السلوك، يجب تكوين IP دون فئات على الموجه-A. يتم تمكين الأمر ip less class بشكل افتراضي على موجهات Cisco مع برنامج Cisco IOS الإصدار 11.3 والإصدارات الأحدث.
Router-A#configure terminal
Enter configuration commands, one per line. End with CTRL/Z.
Router-A(config)#ip classless
Router-A(config)#end
Router-A#show ip nat translation
%SYS-5-CONFIG_I: Configured from console by console nat tr
Pro Inside global Inside local Outside local Outside global
--- 172.16.47.150 172.31.200.48 --- ---
عندما يكرر أنت ال نفسه عملية أزيز إختبار كما تم سابقا، أنت ترى أن الربط يحصل ترجمت وال عملية أزيز ناجح.
Ping Response on device 172.31.200.48
D:\>ping 172.16.47.142
Pinging 172.16.47.142 with 32 bytes of data:
Reply from 172.16.47.142: bytes=32 time=10ms TTL=255
Reply from 172.16.47.142: bytes=32 time<10ms TTL=255
Reply from 172.16.47.142: bytes=32 time<10ms TTL=255
Reply from 172.16.47.142: bytes=32 time<10ms TTL=255
Ping statistics for 172.16.47.142:
Packets: Sent = 4, Received = 4, Lost = 0 (0%)
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 10ms, Average = 2ms
Debug messages on Router A indicating that the packets generated by device
172.31.200.48 are getting translated by NAT.
Router-A#
*Mar 28 03:34:28: IP: tableid=0, s=172.31.200.48 (Serial0), d=172.16.47.142
(Serial1), routed via RIB
*Mar 28 03:34:28: NAT: s=172.31.200.48->172.16.47.150, d=172.16.47.142 [160]
*Mar 28 03:34:28: IP: s=172.16.47.150 (Serial0), d=172.16.47.142 (Serial1),
g=172.16.47.145, len 100, forward
*Mar 28 03:34:28: ICMP type=8, code=0
*Mar 28 03:34:28: NAT*: s=172.16.47.142, d=172.16.47.150->172.31.200.48 [160]
*Mar 28 03:34:28: IP: tableid=0, s=172.16.47.142 (Serial1), d=172.31.200.48
(Serial0), routed via RIB
*Mar 28 03:34:28: IP: s=172.16.47.142 (Serial1), d=172.31.200.48 (Serial0),
g=172.16.47.162, len 100, forward
*Mar 28 03:34:28: ICMP type=0, code=0
*Mar 28 03:34:28: NAT*: s=172.31.200.48->172.16.47.150, d=172.16.47.142 [161]
*Mar 28 03:34:28: NAT*: s=172.16.47.142, d=172.16.47.150->172.31.200.48 [161]
*Mar 28 03:34:28: IP: tableid=0, s=172.16.47.142 (Serial1), d=172.31.200.48
(Serial0), routed via RIB
*Mar 28 03:34:28: IP: s=172.16.47.142 (Serial1), d=172.31.200.48 (Serial0),
g=172.16.47.162, len 100, forward
*Mar 28 03:34:28: ICMP type=0, code=0
*Mar 28 03:34:28: NAT*: s=172.31.200.48->172.16.47.150, d=172.16.47.142 [162]
*Mar 28 03:34:28: NAT*: s=172.16.47.142, d=172.16.47.150->172.31.200.48 [162]
*Mar 28 03:34:28: IP: tableid=0, s=172.16.47.142 (Serial1), d=172.31.200.48
(Serial0), routed via RIB
*Mar 28 03:34:28: IP: s=172.16.47.142 (Serial1), d=172.31.200.48 (Serial0),
g=172.16.47.162, len 100, forward
*Mar 28 03:34:28: ICMP type=0, code=0
*Mar 28 03:34:28: NAT*: s=172.31.200.48->172.16.47.150, d=172.16.47.142 [163]
*Mar 28 03:34:28: NAT*: s=172.16.47.142, d=172.16.47.150->172.31.200.48 [163]
*Mar 28 03:34:28: IP: tableid=0, s=172.16.47.142 (Serial1), d=172.31.200.48
(Serial0), routed via RIB
*Mar 28 03:34:28: IP: s=172.16.47.142 (Serial1), d=172.31.200.48 (Serial0),
g=172.16.47.162, len 100, forward
*Mar 28 03:34:28: ICMP type=0, code=0
*Mar 28 03:34:28: NAT*: s=172.31.200.48->172.16.47.150, d=172.16.47.142 [164]
*Mar 28 03:34:28: NAT*: s=172.16.47.142, d=172.16.47.150->172.31.200.48 [164]
*Mar 28 03:34:28: IP: tableid=0, s=172.16.47.142 (Serial1), d=172.31.200.48
(Serial0), routed via RIB
*Mar 28 03:34:28: IP: s=172.16.47.142 (Serial1), d=172.31.200.48 (Serial0),
g=172.16.47.162, len 100, forward
*Mar 28 03:34:28: ICMP type=0, code=0
Router-A#undebug all
All possible debugging has been turned off
يوضح المثال السابق أنه عندما تجتاز حزمة من الداخل إلى الخارج، يتحقق موجه NAT من جدول التوجيه الخاص به لأي مسار إلى العنوان الخارجي قبل أن يستمر في ترجمة الحزمة. لذلك، من المهم أن يحتوي موجه NAT على مسار صالح للشبكة الخارجية. يجب أن يكون المسار إلى الشبكة الوجهة معروفا من خلال واجهة يتم تعريفها ك NAT خارج في تكوين الموجه.
من المهم ملاحظة أن الحزم المسترجعة يتم ترجمتها قبل توجيهها. لذلك، يجب أن يحتوي الموجه NAT أيضا على مسار صالح للعنوان المحلي الداخلي في جدول التوجيه الخاص به.
معلومات ذات صلة
التعليقات