El servidor NAT y el NAT estático son dos técnicas de uso común.
Para acceder desde la red pública a la red privada, el servidor NAT y los modos estáticos NAT son los mismos. Para acceder desde la red privada a la red pública, el modo del servidor NAT traduce solo la dirección IP, mientras que el modo estático NAT traduce tanto la dirección IP como el puerto. Esto es fácil de confundir. Déjame compartir un caso relacionado contigo.
Descripción del problema
Topología:
192.168.14.19 ---- Dispositivo par --- Túnel --- AR1220 ---- 192.168.9.253
El AR1220 establece un túnel IPSEC con el dispositivo par. Después de que se establece el túnel, las direcciones IP internas de los dos extremos se pueden hacer ping. Sin embargo, la puerta de enlace de red interna del ar1220 (192.168.9.253) no puede hacer telnet a la puerta de enlace de red interna del dispositivo par.
Manejo
1. Verifique el flujo de datos de cifrado y la información del túnel IPSEC SA en ambos extremos. La información es normal. La información relacionada es la siguiente:
dis ipsec sa
===============================
Interface: GigabitEthernet0/0/0
Path MTU: 1500
===============================
-----------------------------
IPSec policy name: "center_vpn"
Sequence number : 1
Acl group : 0
Acl rule : 0
Mode : Template
-----------------------------
Connection ID : 1481
Encapsulation mode: Tunnel
Tunnel local : 172.x.20.10
Tunnel remote : 172.x.10.10
Flow source : 192.168.9.0/255.255.255.0 0/0
Flow destination : 192.168.14.0/255.255.255.0 0/0
Qos pre-classify : Disable
Qos group : -
[Outbound ESP SAs]
SPI: 3354115212 (0xc7ebbc8c)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
SA remaining key duration (bytes/sec): 0/2949
Outpacket count : 0
Outpacket encap count : 0
Outpacket drop count : 0
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N
[Inbound ESP SAs]
SPI: 1560642734 (0x5d0584ae)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
SA remaining key duration (bytes/sec): 0/2949
Inpacket count : 0
Inpacket decap count : 0
Inpacket drop count : 0
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
dis ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
1481 172.x.10.10 0 RD 2
1478 172.x.10.10 0 RD 1
2. Usando el comando display IPSec statistics esp, la salida muestra que no hay conteo de paquetes durante la prueba de telnet, pero los paquetes se cuentan durante la prueba de ping.
dis ipsec statistics esp
Inpacket count : 0
Inpacket auth count : 0
Inpacket decap count : 0
Outpacket count : 0
Outpacket auth count : 0
Outpacket encap count : 0
Inpacket drop count : 0
Outpacket drop count : 0
BadAuthLen count : 0
AuthFail count : 0
InSAAclCheckFail count : 0
PktDuplicateDrop count : 0
PktSeqNoTooSmallDrop count: 0
PktInSAMissDrop count : 0
3. Los paquetes capturados y las estadísticas de tráfico muestran que el AR1220 ha enviado paquetes Telnet.
Interface: Vlanif1
Traffic policy inbound: a
Rule number: 1
Current status: OK!
Item Sum(Packets/Bytes) Rate(pps/bps)
------------------------------------------------------------------------------
Matched 1/90 1/96
Passed 1/90 1/96
Dropped 0/0 0/0
Filter 0/0 0/0
CAR 0/0 0/0
Queue Matched 0/0 0/0
Enqueued 0/0 0/0
Discarded 0/0 0/0
CAR 0/0 0/0
Green packets 0/0 0/0
Yellow packets 0/0 0/0
Red packets 0/0 0/0
La información anterior indica que el AR1220 envía paquetes telnet desde el 192.168.9. 253 pero no reenvía los paquetes a través del cifrado IPSec. Se sospecha que el dispositivo realiza el cifrado IPSec para paquetes ICMP y otros procesos de reenvío para paquetes que no son ICMP.
4. Verifique la configuración en la interfaz. Se encuentra que NAT SERVER está configurado para la dirección 192.168.9.253 de modo que una red externa pueda acceder a la dirección de intranet 192.168.9.253 y su número de puerto.
interface GigabitEthernet0/0/0
description to_Internet
tcp adjust-mss 1200
ip address 172.XX.20.10 255.255.255.0
nat server protocol tcp global current-interface 8080 inside 192.168.9.253 8080
nat outbound 3000
ipsec policy center_vpn
Verifique la sesión NAT de la dirección. Se encuentra que los paquetes de datos se traducen a la red pública cuando el 192.168.9.253 accede a la dirección de igual.
5. Después de que el servidor nat se cambia a nat static, telnet es normal.
Protocolo estático nat Interfaz actual global TCP 8080 dentro de 192.168.9.253 8080
Causa principal
El servidor Nat está configurado en la interfaz de salida de la red pública. Como resultado, NAT se realiza en todos los paquetes TCP enviados desde 192.168.9.253. Por lo tanto, los paquetes traducidos no pueden ingresar al túnel IPSec. Después de cambiar la configuración al protocolo estático nat interfaz TCP global actual 8080 dentro de 192.168.9.253 8080, los servicios son normales. La NAT estática nat se realiza solo cuando la dirección de origen es 192.168.9.253 y el número de puerto TCP es 8080. Por lo tanto, la comunicación es normal después de que el servidor NAT se cambia a NAT estático.