概述
上篇文章介绍了在不同区域下各个参数搭配使用的不同效果(实现tcp的负载均衡、地址伪装),今天给大家带了一个不太被常用但是确实很好用的NAT配置方法。大家应该很清楚常规的NAT配置下经常会碰到NAT回流的问题(内部的服务器映射给公网使用,常规ip nat inside source static映射后,外网用户可以正常访问该服务器,但是内网用户则无法使用该服务器映射公网地址访问服务器)。归根结底问题出在内网用户访问其公网地址时因为数据包处理逻辑问题无法匹配到该静态NAT,而是做完动态NAT后直接到达该公网地址了。现在区域无关NAT改变了设备在处理NAT时的数据包处理流程,无论哪个方向到来的数据包都会先匹配NAT策略,这样轻松的解决了NAT回流问题。
实验
要求
将Client-2作为内网Server映射到公网地址200.1.1.4提供telnet服务
Client-1和外网Server能同时使用200.1.1.4这个地址telnet管理Client-2
拓扑
image
基础配置
Client-1:
Client-1(config)#inter f0/0
Client-1(config-if)#ip add 192.168.2.2 255.255.255.0
Client-1(config-if)#no shut
Client-1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
Client-1(config)#username test privilege 15 password test
Client-1(config)#line vty 0 15
Client-1(config-line)#login local
Client-2:
Client-2(config)#inter f0/0
Client-2(config-if)#ip add 192.168.2.3 255.255.255.0
Client-2(config-if)#no shut
Client-2(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
Client-2(config)#username test privilege 15 password test
Client-2(config)#line vty 0 15
Client-2(config-line)#login local
GW-WAN:
GW-WAN(config)#inter f0/0
GW-WAN(config-if)#ip add 192.168.2.1 255.255.255.0
GW-WAN(config-if)#ip nat inside
GW-WAN(config-if)#no shut
GW-WAN(config-if)#inter f0/1
GW-WAN(config-if)#ip add 200.1.1.2 255.255.255.0
GW-WAN(config-if)#ip nat outside
GW-WAN(config-if)#no shut
GW-WAN(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1
Internet:
Internet(config)#inter f0/0
Internet(config-if)#ip add 200.1.1.1 255.255.255.0
Internet(config-if)#no shut
Internet(config-if)#inter f0/1
Internet(config-if)#ip add 100.1.1.1 255.255.255.0
Internet(config-if)#no shut
Server:
Server(config)#inter f0/0
Server(config-if)#ip add 100.1.1.100 255.255.255.0
Server(config-if)#no shut
Server(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.1
Server(config)#username test priv 15 password test
Server(config)#line vty 0 15
Server(config-line)#login local
区域无关NAT配置
GW-WAN(config)#ip access-list ex test
GW-WAN(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 any #匹配内网地址到所有地方的流量
GW-WAN(config)#ip nat source list test interface f0/1 overload #配置动态PAT保障内网用户正常上网
GW-WAN(config)#ip nat source static 192.168.2.3 200.1.1.4 #把Client-2映射成公网地址,提供服务
GW-WAN(config)#inter f0/0
GW-WAN(config-if)#ip nat enable #开启区域无关NAT功能
GW-WAN(config-if)#inter f0/1
GW-WAN(config-if)#ip nat enable #开启区域网关NAT功能
测试
Client-1使用公网地址telnet管理Client-2
Client-1#telnet 200.1.1.4
Trying 200.1.1.4 ... Open
User Access Verification
Username: test
Password:
Client-2#
Client-2#exit
[Connection to 200.1.1.4 closed by foreign host]
Server使用公网地址telnet管理Client-2
Server#telnet 200.1.1.4
Trying 200.1.1.4 ... Open
User Access Verification
Username: test
Password:
Client-2#
Client-2#exit
[Connection to 200.1.1.4 closed by foreign host]
GW-WAN上转换表项
GW-WAN#show ip nat nvi translations
Pro Source global Source local Destin local Destin global
tcp 100.1.1.100:37514 100.1.1.100:37514 200.1.1.4:23 192.168.2.3:23
tcp 200.1.1.2:31321 192.168.2.2:31321 200.1.1.4:23 192.168.2.3:23
--- 200.1.1.4 192.168.2.3 --- ---
Cisco IOS NAT告一段落,接下来(openflow or ASA NAT )
在现在的设备中通常使用双向NAT解决,Cisco ASA中可以使用DNS重写功能实现。