Servidor NAT y NAT estático

30 0 0 0

El servidor NAT y el NAT estático  son dos técnicas de uso común.

 

Para acceder desde la red pública a la red privada, el servidor NAT y los modos estáticos NAT son los mismos. Para acceder desde la red privada a la red pública, el modo del servidor NAT traduce solo la dirección IP, mientras que el modo estático NAT traduce tanto la dirección IP como el puerto. Esto es fácil de confundir. Déjame compartir un caso relacionado contigo.

 

Descripción del problema


Topología:

 

192.168.14.19 ---- Dispositivo par --- Túnel --- AR1220 ---- 192.168.9.253

 

El AR1220 establece un túnel IPSEC con el dispositivo par. Después de que se establece el túnel, las direcciones IP internas de los dos extremos se pueden hacer ping. Sin embargo, la puerta de enlace de red interna del ar1220 (192.168.9.253) no puede hacer telnet a la puerta de enlace de red interna del dispositivo par.

 

Manejo


1. Verifique el flujo de datos de cifrado y la información del túnel IPSEC SA en ambos extremos. La información es normal. La información relacionada es la siguiente:

 

dis ipsec sa
===============================
Interface: GigabitEthernet0/0/0
Path MTU: 1500
===============================
  -----------------------------
  IPSec policy name: "center_vpn"
  Sequence number  : 1
  Acl group        : 0
  Acl rule         : 0
  Mode             : Template
  -----------------------------
    Connection ID     : 1481
    Encapsulation mode: Tunnel
    Tunnel local      : 172.x.20.10
    Tunnel remote     : 172.x.10.10
    Flow source       : 192.168.9.0/255.255.255.0 0/0
    Flow destination  : 192.168.14.0/255.255.255.0 0/0
    Qos pre-classify  : Disable
    Qos group         : -

    [Outbound ESP SAs]
      SPI: 3354115212 (0xc7ebbc8c)
      Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 0/2949
      Outpacket count       : 0          
      Outpacket encap count : 0          
      Outpacket drop count  : 0          
      Max sent sequence-number: 0        
      UDP encapsulation used for NAT traversal: N
                                         
    [Inbound ESP SAs]                    
      SPI: 1560642734 (0x5d0584ae)
      Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 0/2949
      Inpacket count        : 0
      Inpacket decap count  : 0
      Inpacket drop count   : 0
      Max received sequence-number: 0
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

dis ike sa


    Conn-ID  Peer            VPN   Flag(s)                Phase 
  ---------------------------------------------------------------
     1481    172.x.10.10   0     RD                     2    
     1478    172.x.10.10   0     RD                     1    

 

2. Usando el comando display IPSec statistics esp, la salida muestra que no hay conteo de paquetes durante la prueba de telnet, pero los paquetes se cuentan durante la prueba de ping.

 

dis ipsec statistics esp

                                  

Inpacket count            : 0

Inpacket auth count       : 0

Inpacket decap count      : 0

Outpacket count           : 0

Outpacket auth count      : 0

Outpacket encap count     : 0

Inpacket drop count       : 0

Outpacket drop count      : 0

BadAuthLen count          : 0

AuthFail count            : 0

InSAAclCheckFail count    : 0

PktDuplicateDrop count    : 0

PktSeqNoTooSmallDrop count: 0

PktInSAMissDrop count     : 0

 

3. Los paquetes capturados y las estadísticas de tráfico muestran que el AR1220 ha enviado paquetes Telnet.


Interface: Vlanif1
Traffic policy inbound: a
Rule number: 1
Current status: OK!
Item                    Sum(Packets/Bytes)               Rate(pps/bps)
------------------------------------------------------------------------------
Matched                           1/90                          1/96          
   Passed                          1/90                          1/96          
   Dropped                         0/0                           0/0           
     Filter                        0/0                           0/0           
     CAR                           0/0                           0/0           
   Queue Matched                   0/0                           0/0           
     Enqueued                      0/0                           0/0           
     Discarded                     0/0                           0/0           
   CAR                             0/0                           0/0           
     Green packets                 0/0                           0/0           
     Yellow packets                0/0                           0/0           
     Red packets                   0/0                           0/0      

 

La información anterior indica que el AR1220 envía paquetes telnet desde el 192.168.9. 253 pero no reenvía los paquetes a través del cifrado IPSec. Se sospecha que el dispositivo realiza el cifrado IPSec para paquetes ICMP y otros procesos de reenvío para paquetes que no son ICMP.

 

4. Verifique la configuración en la interfaz. Se encuentra que NAT SERVER está configurado para la dirección 192.168.9.253 de modo que una red externa pueda acceder a la dirección de intranet 192.168.9.253 y su número de puerto.

 

interface GigabitEthernet0/0/0
description to_Internet

tcp adjust-mss 1200
ip address 172.XX.20.10 255.255.255.0
nat server protocol tcp global current-interface 8080 inside 192.168.9.253 8080
nat outbound 3000
ipsec policy center_vpn


Verifique la sesión NAT de la dirección. Se encuentra que los paquetes de datos se traducen a la red pública cuando el 192.168.9.253 accede a la dirección de igual.

 

1


5. Después de que el servidor nat se cambia a nat static, telnet es normal.

 

Protocolo estático nat Interfaz actual global TCP 8080 dentro de 192.168.9.253 8080

 

Causa principal


El servidor Nat está configurado en la interfaz de salida de la red pública. Como resultado, NAT se realiza en todos los paquetes TCP enviados desde 192.168.9.253. Por lo tanto, los paquetes traducidos no pueden ingresar al túnel IPSec. Después de cambiar la configuración al protocolo estático nat interfaz TCP global actual 8080 dentro de 192.168.9.253 8080, los servicios son normales. La NAT estática nat se realiza solo cuando la dirección de origen es 192.168.9.253 y el número de puerto TCP es 8080. Por lo tanto, la comunicación es normal después de que el servidor NAT se cambia a NAT estático.


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión