Über das Innere und das Äußere und das Innere und das Globale

8

Ich habe ein Konzeptproblem mit dem NAT. Hier ist die Cisco-Definition für den lokalen und globalen Betrieb sowie den NAT-Betrieb.

Lokale Adresse - Eine lokale Adresse ist eine Adresse, die im inneren Teil des Netzwerks angezeigt wird.

Globale Adresse - Eine globale Adresse ist eine Adresse, die im äußeren Teil des Netzwerks angezeigt wird.

Pakete, die im inneren Teil des Netzwerks bezogen werden, haben eine interne lokale Adresse als Quelladresse und eine externe lokale Adresse als Zieladresse des Pakets, während sich das Paket im inneren Teil des Netzwerks befindet. Wenn dasselbe Paket an das externe Netzwerk weitergeleitet wird, wird die Quelle des Pakets jetzt als interne globale Adresse und das Ziel des Pakets als externe globale Adresse bezeichnet.

Wenn umgekehrt ein Paket im externen Teil des Netzwerks bezogen wird, während es sich im externen Netzwerk befindet, wird seine Quelladresse als externe globale Adresse bezeichnet. Das Ziel des Pakets wird als interne globale Adresse bezeichnet. Wenn dasselbe Paket an das interne Netzwerk weitergeleitet wird, wird die Quelladresse als externe lokale Adresse und das Ziel des Pakets als interne lokale Adresse bezeichnet.

Ref :: http://www.cisco.com/de/US/tech/tk648/tk361/technologies_tech_note09186a0080094837.shtml#defining

Meine Frage ist, dass der Begriff "lokal" den Verkehr auf der LAN-Seite des Netzwerks und der Begriff "global" den Verkehr auf der WAN-Seite des Netzwerks bedeutet.

und wenn ich den Befehl " ip nat inside destination " verwende, richte ich eine Übersetzung zwischen einer lokalen internen Adresse und einer globalen internen Adresse ein, und für den Befehl " ip nat external source " richte ich eine Übersetzung zwischen einer lokalen Adresse ein externe Adresse und eine globale externe Adresse, ist das richtig?

Letzteres, warum müssen wir das NAT nicht zwischen Outside Local und Inside Global einrichten? oder das NAT zwischen Outside Global und Inside Local?

cisco  cisco-commands  nat 
Samuel
quelle
@ Daniel Dib: Ihr Beitrag ist sehr klar und hilfreich, aber ich weiß nicht, warum Sie angeben, dass die 2 statischen 'ip nat'-Regeln unterschiedlich sein sollten. Soweit ich weiß, sind beide Befehle bidirektional. > Cisco IOS NAT unterstützt "bidirektionale Übersetzung" durch die> gleichzeitige Verwendung von Übersetzungen "innerhalb der Quelle" und "außerhalb der Quelle". von http://www.cisco.com/de/US/technologies/tk648/tk361/tk438/technologies_white_paper09186a0080091cb9.html

Antworten:

11

Normalerweise wird NAT verwendet, um zwischen einer privaten und einer öffentlichen IP-Adresse zu übersetzen. Dies ist jedoch nicht der einzige Anwendungsfall. Sie können auch zwischen beliebigen Adressen übersetzen, z. B. privat zu privat.

Die Begriffe "lokal" und "global" beziehen sich am häufigsten auf das Innere und Äußere Ihres Netzwerks. Dies bedeutet jedoch nicht, dass es sich um LAN und WAN handeln muss, obwohl dies häufig der Fall ist.

Nehmen wir also an, wir haben einen Webserver mit der IP 10.0.0.1 in unserem LAN. Wir möchten, dass der Webserver über eine öffentliche IP von 130.130.130.130 zugänglich ist.

ip nat inside source static 10.0.0.1 130.130.130.130

Dies bedeutet, dass alle Pakete von 10.0.0.1 (Quell-IP) in eine Quelle von 130.130.130.130 übersetzt werden, wenn sie über die externe Schnittstelle beendet werden. Dieser Befehl ist bidirektional, sodass alle Pakete, die mit einer Ziel-IP von 130.130.130.130 in die externe Schnittstelle eingehen, ebenfalls in 10.0.0.1 übersetzt werden.

Der Befehl ip nat inside destination wird von inside global in einen oder mehrere inside local übersetzt. Dies wird hauptsächlich zur primitiven Lastverteilung verwendet.

ip nat inside destination list 1 pool real-hosts
ip nat pool real-hosts 10.0.0.1 10.0.0.3 prefix-length 24 type rotary
access-list 1 permit 130.130.130.130

Dies bedeutet, dass rotierend von 130.130.130.130 auf 10.0.0.1, 10.0.0.2 und 10.0.0.3 übersetzt wird. Für jede eingehende Anfrage an die interne globale IP von 130.130.130.130 wird sie also im Round-Robin-Verfahren in eine andere interne interne Adresse übersetzt.

IP nat außerhalb der Quelle statisch übersetzt zwischen außerhalb globaler und außerhalb lokaler IP. Ein häufiger Anwendungsfall wäre, wenn Sie überlappende Subnetze haben. Zum Beispiel, wenn Sie eine Fusion durchführen und beide Unternehmen dieselben IP-Subnetze verwenden. Nehmen wir also an, dass sowohl Unternehmen A als auch Unternehmen B 10.0.0.0/24 für etwas verwenden. Sie arbeiten also für Unternehmen A und möchten alle 10.0.0.0/24 von außen in 192.168.0.0/24 übersetzen.

ip nat outside source static network 10.0.0.0 192.168.0.0 /24

Dann müssten Sie natürlich dasselbe für den Verkehr von innen nach außen tun.

In Bezug auf Ihre letzte Frage ist es nur wirklich sinnvoll, entweder die Quelle oder das Ziel des Pakets zu übersetzen. Was Sie vorschlagen, klingt nach einer Art Richtlinien-Routing. Sie können NAT innerhalb und außerhalb von NAT verwenden, um alles zu tun, was Sie benötigen.

Daniel Dib
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.