Cisco NAT. Практика. Part 2.

2022.08.20. Kurapov Alexey.

Cisco NAT. Part 1.PAT. 

                    Напомним топологию:


                    Рассмотрим PAT – Port Address Translation, диапазон внутренних адресов транслируются в один внешний ip адрес.  При обработке пакета роутер запоминает соотношение реального внутреннего ip адреса и порта источника TCP сессии, это позволяет ему производить обратную трансляцию и пересылать на хосты ответные пакеты.

                    Используется, когда требуется обеспечить доступ из внутренней сети ко  внешним ресурсам. Все внутренние IP транслируются в 210.210.0.2 -ip адрес на внешнем interface edge роутера плюс разные порты. 

                    Настройка:

1.      Укажем какие интерфейсы внешние, а какие внутренние:

2.      Создадим ACL:

Указали внутренние подсети, для которых хотим в дальнейшем применить PAT. 

3.      Настройка PAT:

 где  NAT - имя ACL, interface Fa0/1 - имя интерфейса, через который трафик выходит.

Проверка:

Запустим ping с PC0 до внешнего Web сервера:

 

На Edge роутере смотрим активные NAT трансляции:

 Запустим Wireshark на внутреннем и внешнем интерфейсах роутера Edge:

 Смотрим Wireshark на внутреннем интерфейсе:

Видим обращения с ip внутренней сети 192.168.10.10 на внешний ip адрес – 212.212.0.10,

Ответные пакеты с внешнего ip, также поступают на внутренний адрес. 

Смотрим Wireshark на внешнем интерфейсе:

Здесь во всех пакетах – в запросах и ответах, видим ip адрес внешнего интерфейса роутера Edge. 

В том, что видим одни и те же пакеты, можем убедиться, сравнивая sequence number пакетов:

 Запустим ping с PC1 до внешнего Web сервера:

 На Edge роутере смотрим активные NAT трансляции:

Как видим роутер запомнил внутренние адреса – Inside local,

Заменяет внутренние адреса на свой адрес на внешнем интерфейсе – Inside global,

при этом для разных Inside local ставятся в соответствие разные номера портов в Inside global,

эти номера указываются в Outside global, для возможности идентификации ответных пакетов.

 Зайдем на PC0 и PC1 на web сервер:

 Проверим активные трансляции на роутере:

Для различных TCP соединений роутер сохраняет порт источника в Inside global, для дальнейшей идентификации источника соединения с помощью Inside local. 

В Wireshark видим начало установления TCP сессии и передачу данных от PC0 на web сервер:

 В следующей статье рассмотрим Static NAT.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Изображение
Nexus NX-OS. vPC. Практика. Часть 1. 2021.11. 24 . Kurapov Alexey .   Nexus NX-OS. vPC. Part 1. Nexus и Catalyst -   одно из отличий: Nexus   - коммутаторы Cisco со скоростью коммутации с порта на порт, не более 2-3 мкс, в отличии от, например, Catalyst 9 x 00 , с задержкой порядка 50 мкс. В больших или распределенных ЦОД-ах, при наличии множества next - hop , данный параметр является критичным для ряда приложений, когда требуется задержка при обращении сервера приложений к БД на уровне не более 2-3 мс.   vPC – для чего? В кампусных сетях для обеспечения надежности доступности хостов или сетевого оборудования в L 2 домене используется понятие LACP – несколько линков работают одновременно и не блокируются протоколом STP .   Особенно важно обеспечить аналогичную работу в ЦОД-е/-ах, где используются 10/25/40/100 Gb линки и неиспользование части из них весьма дорого. В обычной ситуации сервер подключенный к двум разным физическим коммутаторам...
Далее...
Изображение
  MPLS Part 3.  Практика . MPLS LDP Tunnels Part 3. 2023.05.10. Kurapov Alexey. MPLS Part 3 MPLS LDP Tunnels Part 3                     Схема сети такая же, как и раньше:   Рассмотрим откуда берутся метки.                     В выводе команды show ip cef , также есть MPLS метка:                       Откуда берутся метки? Как только включаем LDP на интерфейсах, появляется дополнительная таблица – таблица MPLS Forwarding :                     Данная таблица называется LIB – Label Information Base , или LFIB – Label Forwarding Information Base , в ней есть метки для всех известных R 1 префиксов.   ...
Далее...
Изображение
MPLS Part 8.  Практика . MPLS  L3 VPN Part 5. MPLS L3 VPN PE-CE routing with OSPF Part 1. 2023.09.19. Kurapov Alexey. MPLS Part 8 MPLS L3 VPN Part 5                   MPLS L3 VPN PE-CE routing with OSPF Part 1.                       Топология сети не изменилась:                         Ранее научились отдавать connected сети, теперь перейдем к динамической маршрутизации – CE - PE routing .                     PE – Provider Router , этот роутер терминирует на себе vrf .                     CE – граничный роутер клиента, смотрит в сторо...
Далее...