Dalam konfigurasi PAT Statis standar, di mana satu IP: Kombinasi port selalu dipetakan ke IP lain: Kombinasi port, ada tiga kemungkinan kombinasi di dalam / luar / sumber / tujuan yang dapat dikonfigurasikan.
Sebagai contoh, ini adalah contoh konfigurasi:
ip nat inside source static tcp 10.0.20.13 8080 2.2.2.33 80
^^^^^^^^^^^^^
Dalam istilah awam, konfigurasi ini memungkinkan setiap host luar untuk memulai koneksi TCP ke IP 2.2.2.33 melalui port 80. Ketika paket ini mengenai router, alamat IP tujuan dan Port ( 2.2.2.33:80
) diterjemahkan ke 10.0.20.13:8080
.
Kebalikannya juga akan terjadi, jika host di dalam 10.0.20.13 mengirim paket TCP dengan port sumber 8080, karena paket ini melintasi router, IP sumber dan Port ( 10.0.20.13:8080
) akan diterjemahkan 2.2.2.33:80
. (ini biasanya berupa paket respons , bukan paket yang diinisiasi dari host Inside)
Berikut ini ketiga opsi konfigurasi untuk bagian yang ditandai di atas:
Router(config)#ip nat inside ?
destination Destination address translation
source Source address translation
Router(config)#ip nat outside ?
source Source address translation
Akibatnya, Anda dapat mengonfigurasi:
- ip nat sumber dalam tcp statis {IP} {Port} {IP} {Port}
- ip nat di dalam tujuan statis tcp {IP} {Port} {IP} {Port}
- ip nat sumber luar tcp statis {IP} {Port} {IP} {Port}
Bagaimana perbedaan opsi ini dan kapan seseorang akan menggunakan masing-masing dari ketiga opsi tersebut? Silakan gunakan istilah awam seperti yang saya lakukan di atas untuk menjelaskan bagaimana masing-masing akan memanipulasi paket yang datang melalui perangkat.
Adakah yang bisa memberitahu saya mengapa tidak ada opsi tujuan luar ?
Jawaban:
Pikirkan hal ini dengan sangat hati-hati.
Sumber dalam berarti Anda ingin menerjemahkan alamat sumber dari lalu lintas yang berasal dari dalam jaringan Anda. Ini adalah pengaturan "jaringan rumah" yang memungkinkan Anda untuk menggunakan alamat pribadi di Internet publik. Tentu saja, ini bukan hanya digunakan untuk versi ini.
Tujuan di dalam berarti Anda ingin lalu lintas yang berasal dari alamat luar ke protokol dan port tujuan transportasi tertentu untuk pergi ke alamat dalam tertentu. Inilah yang dilakukan pengguna rumahan untuk memungkinkan sesuatu seperti server web dengan alamat pribadi untuk diakses dari Internet publik. Tentu saja, ini bukan hanya digunakan untuk versi ini.
Sumber luar menerjemahkan lalu lintas yang berasal dari luar agar terlihat seperti berasal dari alamat orang dalam. Ini dapat berguna dalam kasus di mana perusahaan dengan rentang alamat IP yang tumpang tindih bergabung dan perlu mulai menghubungkan jaringan. Anda dapat menerjemahkan alamat sumber lalu lintas yang berasal dari luar, yang biasanya memiliki alamat sumber luar yang bertentangan dengan alamat di dalam, ke alamat alamat sumber dalam kisaran alamat dalam yang tersedia.
Tujuan luar tidak terlalu masuk akal karena ini adalah kebalikan dari penerusan porta. Ini akan membatasi lalu lintas yang berasal dari dalam, yang ditujukan ke protokol dan port transportasi luar tertentu, ke satu alamat luar.
sumber
inside destination
tampaknya cocok dengan "penjelasan awam" saya untukinside source
. Kecuali, contoh saya mengubah port tujuan # untuk lalu lintas masuk dari80
menjadi8080
. Deskripsi Anda tampaknya menyiratkan port # tidak berubah? Either way, itu tidak bisa menjadi satu-satunya perbedaan antarainside destination
daninside source
, bukan?inside source
lalu lintas berasal dari dalam, daninside destination
arus lalu lintas berasal dari luar. Jika lalu lintas yang berasal dariinside source
membutuhkan balasan,inside destination
proses -type sementara terjadi untuk balasan tersebut. Nomor port dapat diubah karena lalu lintas bergerak dari satu sisi ke sisi lain, tetapi tidak semua router (terutama router rumah) mendukung hal ini.Kita harus mulai dari dasar, jadi mari kita merevisi terminologi NAT. NAT menerjemahkan alamat IP dalam paket IP, kan? Apa artinya? Bahwa itu, pada dasarnya, menciptakan fatamorgana - ya, ilusi optik, Anda tahu. Sebagai contoh, dalam konfigurasi NAT khas ketika host LAN yang dialamatkan pribadi mengakses Internet dengan menggunakan alamat IP publik antarmuka router eksternal host tersebut muncul untuk server Internet memiliki IP publik ini (atau IP dari kumpulan IP publik). NAT tidak membuat host fisik baru, tentu saja - tetapi menciptakan semacam entitas virtual baru - dalam contoh ini, host LAN melihat diri mereka sendiri, katakanlah 192.168.1.x tetapi server Internet melihatnya sebagai 203.0.113.x - satu set host fisik tetapi dua set alamat IP. Dua set host (logis) yang berbeda. Ilusi penglihatan. Dan terminologinya adalah ini:
Dan seperti yang Anda lihat, kami berkewajiban untuk membuat perbedaan antara jaringan kami dan Internet atau jaringan eksternal lainnya. Kami melakukan ini dengan menandai antarmuka IP router kami sebagai ip nat di dalam atau ip nat di luar , setuju?
Sekarang mari kita ingat bagaimana NAT biasanya diterapkan: ia memelihara tabel khusus yang berisi entri tentang terjemahan. Dan yang penting adalah bahwa entri ini dapat dibuat secara statis atau dinamis . Untuk entri yang dibuat secara dinamis, arah lalu lintas penting - apakah lalu lintas dimulai dari dalam ke luar atau sebaliknya? Untuk entri statis, ini tidak begitu - mereka simetris . Pernyataan konfigurasi NAT yang berisi static kata kunci membuat entri statis segera setelah menempatkan mereka ke dalam config berjalan; mereka yang menonton kata kunci dinamis untuk lalu lintas yang menarik dan secara dinamis membuat entri terjemahan, yang pada akhirnya akan habis waktu.
Kami sudah dapat berspekulasi tentang pertanyaan terakhir Anda: mengapa tidak ada opsi tujuan luar ? ip nat di dalam source static membuat entri NAT statis yang menerjemahkan persis seperti yang Anda jelaskan, tetapi ini tidak hanya mencakup lalu lintas yang dimulai dari satu sisi tertentu - entri NAT statis simetris. Jadi, ip nat di luar tujuan statis akan membuat entri statis untuk menerjemahkan alamat IP tujuan lalu lintas yang masuk ke jaringan Anda dari luar DAN sumber alamat IP untuk lalu lintas dari dalam - tapi ini persis seperti apa ip nat di dalam sumber statisperintah tidak! Jadi, itu berlebihan untuk memiliki perintah ini. Satu-satunya perbedaan adalah bahwa Anda akan menukar sumber dengan ip tujuan ketika menggunakan satu atau lain bentuk pada dasarnya perintah yang sama.
Sehubungan dengan pernyataan pertama Anda, "ada tiga kemungkinan kombinasi di dalam / luar / sumber / tujuan yang dapat dikonfigurasi" - ini tidak begitu. Intinya adalah bahwa, secara umum, pernyataan konfigurasi NAT bukan "rumus matematika" dan harus dianggap sepenuhnya, dan tidak dibangun secara logis dari kata kunci yang independen. Jadi, setiap "kombinasi" menyajikan solusi untuk tugas tertentu, misalnya, ip nat di dalam daftar tujuan digunakan untuk mengonfigurasi server TCP load balancing yang menggunakan algoritma spesifik dan tidak bekerja dengan UDP. Juga, (dalam iOS modern) tidak ada ip nat di dalam perintah statis tujuan - apakah Anda benar-benar mencobanya dengan opsi statis ?
Anda dapat melihat beberapa skenario tertentu menggunakan NAT termasuk contoh konfigurasi dalam makalah Cisco ini: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/12-2sx /nat-12-2sx-book/iadnat-addr-consv.html
Akhirnya, saya ingin menyebutkan bahwa kadang-kadang NAT bukan yang Anda inginkan, misalnya, lihat jawaban saya untuk "pertanyaan kanonik" ini: /server/55611/loopback-to-forwarded-public- ip-address-from-local-network-hairpin-nat / 733532 # 733532
PS Haruskah saya membahas lebih detail?
sumber