Ghim tóc Cisco NAT

Tôi có bộ định tuyến Cisco được cấu hình NAT (4 NAT tĩnh và NAT động). Vấn đề của tôi là tôi không thể truy cập các máy chủ nội bộ bằng địa chỉ IP công cộng từ mạng nội bộ.

Tôi biết vấn đề là gì. Tôi đã làm rất nhiều Google tìm kiếm về vấn đề này và tôi đã học được rằng hầu hết các tường lửa / bộ định tuyến tự động xử lý tình huống này.

Trong trường hợp của Cisco, NAT kẹp tóc là một trong những giải pháp (tôi không biết liệu mình có đúng không). Làm thế nào tôi có thể làm điều đó?.

Tôi cần truy cập máy chủ bằng địa chỉ IP 202.192.68.235từ PC, nhưng tôi không thể.

NVI NAT đã được Aaron D. đưa lên

Đây là một bit cấu hình có liên quan của một ví dụ làm việc. Nó đã được thực hiện trên CISCO881 với IOS 15.4 (3) M6a

Outside network: 172.19.31.0 /24   on  FastEthernet4
Inside network:  172.19.140.0 /23  on VLAN141/SVI141
exposed host:    172.19.141.24
external port:   2222
internal port:   22

Cấu hình giao diện:

interface FastEthernet4
 ip address 172.19.31.2 255.255.255.0
 ip nat enable

interface Vlan141
 ip address 172.19.140.1 255.255.254.0
 !
 ! hairpinning did not work until ip redirects were disabled
 !
 no ip redirects
 ip nat enable

NAT ACL:

ip access-list standard ACLv4_SUBNET141
 permit 172.19.140.0 0.0.1.255

Quy tắc NAT:

ip nat source static tcp 172.19.141.24 22 interface FastEthernet4 2222
ip nat source list ACLv4_SUBNET141 interface FastEthernet4 overload

Tóm lại:

1. đặt các giao diện có liên quan thành "ip nat enable" thay vì "ip nat in / bên ngoài" và sửa đổi một chút các quy tắc NAT.
2. đảm bảo rằng có chính sách gửi đi theo kiểu NVI NAT, hoặc máy chủ có thể kẹp tóc sẽ không thể kết nối ra ngoài hoặc kẹp tóc với chính nó.
3. vô hiệu hóa chuyển hướng ip trên giao diện "bên trong" hoặc kẹp tóc (ít nhất là không phải từ chính máy chủ) sẽ không hoạt động.

Thận trọng: NVI NAT có thể đánh thuế RẤT vào CPU của các bộ định tuyến cấp thấp như dòng 800. Trường hợp 881 cũ của tôi đã từng có thể cung cấp 50-60Mbit / giây với NAT cổ điển, việc chuyển sang NVI khiến cho thông lượng giảm xuống 20-30Mbit / giây và sẽ khiến CPU phát sáng màu đỏ khi tải.

Đó cũng là trường hợp khi bản dịch tương lai không thực sự được sử dụng, chỉ với lưu lượng phù hợp với quy tắc NAT "giao diện ... quá tải" bình thường.

Trên ASA, điều này là khá dễ dàng. Trên một bộ định tuyến, tôi nghĩ bạn có thể thiết lập Nat / NVI để đạt được những gì bạn muốn.

Hãy thử điều này: Cisco Router Easy Hairpin NAT

Đây là một trường hợp chuyển tiếp cổng vào cùng một mạng. Đối với các thiết lập của DMZ như vậy, việc nối tóc được ưu tiên hoặc có DNS cục bộ để giải quyết cho các máy chủ nội bộ đó. Ngoài họ có một giải pháp tương đương cho nó.

Giải pháp là cũng có quy tắc DNAT cho vùng LAN của bạn để gói tin có ip đích 202.192.68.235 từ máy khách cục bộ có thể được dịch sang 10.0.6.35 và được định tuyến trở lại cùng một mạng bởi bộ định tuyến.

Nhưng một lần nữa vấn đề là máy chủ sẽ cố gắng trả lời trực tiếp cho khách hàng vì nó thuộc cùng một mạng. Bây giờ để làm cho máy chủ trả lời máy khách thông qua bộ định tuyến, chúng ta cần thêm quy tắc SNAT để tạo nguồn dưới dạng bộ định tuyến.

Quy tắc SNAT của bạn phải rất cụ thể sao cho nó chỉ áp dụng cho lưu lượng truy cập đến từ mạng con cục bộ và được dành cho 10.0.6.35. Điều này sẽ giải quyết vấn đề của bạn chắc chắn.

Để tóm tắt, bạn phải thêm một quy tắc DNAT và SNAT cho giao diện LAN.