Penataan rambut Cisco NAT

8

Saya memiliki router Cisco yang dikonfigurasi NAT (4 NAT statis dan NAT dinamis). Masalah saya adalah bahwa saya tidak dapat mengakses server internal menggunakan alamat IP publik dari jaringan internal.

Saya tahu apa masalahnya. Saya melakukan banyak pencarian Google tentang masalah ini, dan saya belajar bahwa sebagian besar firewall / router secara otomatis menangani situasi ini.

Dalam hal Cisco, penataan rambut NAT adalah salah satu solusinya (saya tidak tahu apakah saya benar). Bagaimana saya bisa melakukan itu?

masukkan deskripsi gambar di sini

saya perlu mengakses server menggunakan alamat IP 202.192.68.235dari PC saya, tetapi saya tidak bisa.

cisco routing router nat sareeshmnair
sumber
Bisakah Anda memposting diagram dan konfigurasi router Anda? Tidak ada informasi yang cukup untuk membantu Anda.
Ron Trunk
mengedit pertanyaan saya. Saya harap ini akan membantu u
sareeshmnair
1
Sayangnya, Anda tidak dapat membuat router melakukan apa yang Anda inginkan. Anda tidak dapat menggunakan alamat luar untuk masuk ke server dalam konfigurasi yang Anda miliki.
Ron Trunk
Apakah Anda harus benar-benar menggunakan alamat IP, atau dapatkah Anda menggunakan nama DNS? Anda dapat memodifikasi DNS lokal Anda untuk mengembalikan alamat IP lokal dan bukan alamat IP publik.
Ron Maupin
1
Cisco "tidak melakukan itu". Ada beberapa hack yang terlibat untuk membuatnya bekerja, tetapi Anda benar-benar tidak ingin pergi ke sana. Pada dasarnya, NAT berlaku untuk paket yang diterima pada antarmuka; karena lalu lintas internal tidak pernah melewati antarmuka "luar", mereka tidak pernah diterjemahkan. Di bawah iOS, antarmuka loopback dan perutean kebijakan dapat mewujudkannya, tetapi ini merupakan konfigurasi dan pemrosesan mimpi buruk.
Ricky Beam

Jawaban:

3

NVI NAT sudah dibesarkan oleh Aaron D.

Berikut ini adalah bit konfigurasi yang relevan dari contoh yang berfungsi. Ini telah dilakukan pada CISCO881 dengan iOS 15.4 (3) M6a

Outside network: 172.19.31.0 /24   on  FastEthernet4
Inside network:  172.19.140.0 /23  on VLAN141/SVI141
exposed host:    172.19.141.24
external port:   2222
internal port:   22

Konfigurasi antarmuka:

interface FastEthernet4
 ip address 172.19.31.2 255.255.255.0
 ip nat enable

interface Vlan141
 ip address 172.19.140.1 255.255.254.0
 !
 ! hairpinning did not work until ip redirects were disabled
 !
 no ip redirects
 ip nat enable

NAT ACL:

ip access-list standard ACLv4_SUBNET141
 permit 172.19.140.0 0.0.1.255

Aturan NAT:

ip nat source static tcp 172.19.141.24 22 interface FastEthernet4 2222
ip nat source list ACLv4_SUBNET141 interface FastEthernet4 overload

Pendeknya:

  1. atur antarmuka yang relevan ke "ip nat enable", bukan "ip nat in / outside", dan sedikit ubah aturan NAT.
  2. pastikan bahwa ada kebijakan outbound NVI NAT style, atau host hairpinnable tidak akan dapat menghubungkan outbound atau jepit rambut dengan dirinya sendiri.
  3. menonaktifkan pengalihan ip pada antarmuka "dalam", atau penataan rambut (setidaknya tidak dari host itu sendiri) tidak akan berfungsi.

Perhatian: NVI NAT dapat SANGAT membebani CPU dari router low-end seperti seri 800. Di mana 881 lama saya dulu dapat memberikan 50-60Mbit / s dengan NAT klasik, beralih ke NVI menyebabkan throughput turun ke 20-30Mbit / s dan akan membuat CPU menyala merah saat di bawah beban.

Itu juga merupakan kasus ketika terjemahan yang akan dijepit rambut tidak benar-benar digunakan, hanya dengan lalu lintas yang cocok dengan aturan NAT outbound "interface ... overload" yang keluar.

Marc 'netztier' Luethi
sumber
0

Pada ASA ini cukup mudah. Pada router, saya pikir Anda dapat mengatur Nat / NVI untuk mencapai apa yang Anda inginkan.

Coba ini: Cisco Router Easy Hairpin NAT

Aaron D
sumber
0

Ini adalah kasus port forwarding ke jaringan yang sama. Untuk pengaturan DMZ seperti itu, penataan rambut lebih disukai atau memiliki DNS lokal untuk diselesaikan untuk server internal tersebut. Terlepas dari mereka ada solusi yang setara untuk itu.

Solusinya adalah memiliki aturan DNAT untuk zona LAN Anda juga sehingga paket dengan tujuan ip 202.192.68.235 dari klien lokal dapat diterjemahkan ke 10.0.6.35 dan dialihkan kembali ke jaringan yang sama oleh router.

Tetapi sekali lagi masalahnya adalah bahwa server akan mencoba untuk membalas langsung ke klien karena itu milik jaringan yang sama. Sekarang untuk membuat server membalas klien melalui router, kita perlu menambahkan aturan SNAT yang akan menjadikan sumber sebagai router.

Aturan SNAT Anda harus sangat spesifik sehingga hanya berlaku untuk lalu lintas yang berasal dari subnet lokal dan ditujukan untuk 10.0.6.35. Ini pasti akan menyelesaikan masalah Anda.

Untuk meringkas Anda harus menambahkan DNAT dan aturan SNAT untuk antarmuka LAN.

enzim
sumber