De acuerdo

Servidor NAT y NAT estático

Última respuesta jul. 09, 2020 08:04:09 103 1 0 0 0

El servidor NAT y el  NAT estatico son dos técnicas de uso común.


Para el acceso desde la red pública a la red privada, el servidor NAT y los modos estáticos NAT son los mismos. Para el acceso desde la red privada a la red pública, el modo del servidor NAT traduce solo la dirección IP, mientras que el modo estático NAT traduce tanto la dirección IP como el puerto. Esto es fácil de confundir. Déjame compartir un caso relacionado contigo.


Descripción del problema

Topología:


192.168.14.19 ---- Dispositivo par --- Túnel --- AR1220 ---- 192.168.9.253


El AR1220 establece un túnel IPSEC con el dispositivo par. Después de que se establece el túnel, las direcciones IP internas de los dos extremos se pueden hacer ping. Sin embargo, la puerta de enlace de red interna del AR1220 (192.168.9.253) no puede hacer telnet a la puerta de enlace de red interna del dispositivo par.


Procedimiento de manejo

1. Verifique el flujo de datos de cifrado y la información del túnel IPSEC SA en ambos extremos. La información es normal. La información relacionada es la siguiente:


dis ipsec sa
===============================
Interface: GigabitEthernet0/0/0
Path MTU: 1500
===============================
  -----------------------------
  IPSec policy name: "center_vpn"
  Sequence number  : 1
  Acl group        : 0
  Acl rule         : 0
  Mode             : Template
  -----------------------------
    Connection ID     : 1481
    Encapsulation mode: Tunnel
    Tunnel local      : 172.x.20.10
    Tunnel remote     : 172.x.10.10
    Flow source       : 192.168.9.0/255.255.255.0 0/0
    Flow destination  : 192.168.14.0/255.255.255.0 0/0
    Qos pre-classify  : Disable
    Qos group         : -

    [Outbound ESP SAs]
      SPI: 3354115212 (0xc7ebbc8c)
      Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 0/2949
      Outpacket count       : 0          
      Outpacket encap count : 0          
      Outpacket drop count  : 0          
      Max sent sequence-number: 0        
      UDP encapsulation used for NAT traversal: N
                                         
    [Inbound ESP SAs]                    
      SPI: 1560642734 (0x5d0584ae)
      Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 0/2949
      Inpacket count        : 0
      Inpacket decap count  : 0
      Inpacket drop count   : 0
      Max received sequence-number: 0
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N
dis ike sa
    Conn-ID  Peer            VPN   Flag(s)                Phase 
  ---------------------------------------------------------------
     1481    172.x.10.10   0     RD                     2    
     1478    172.x.10.10   0     RD                     1    



2. Usando el comando display ipsec statistics esp, la salida muestra que no hay conteo de paquetes durante la prueba de telnet, pero los paquetes se cuentan durante la prueba de ping.


dis ipsec statistics esp                                  

Inpacket count            : 0

Inpacket auth count       : 0

Inpacket decap count      : 0

Outpacket count           : 0

Outpacket auth count      : 0

Outpacket encap count     : 0

Inpacket drop count       : 0

Outpacket drop count      : 0

BadAuthLen count          : 0

AuthFail count            : 0

InSAAclCheckFail count    : 0

PktDuplicateDrop count    : 0

PktSeqNoTooSmallDrop count: 0

PktInSAMissDrop count     : 0


3. Los paquetes capturados y las estadísticas de tráfico muestran que el AR1220 ha enviado paquetes Telnet.


Interface: Vlanif1
Traffic policy inbound: a
Rule number: 1
Current status: OK!
Item                    Sum(Packets/Bytes)               Rate(pps/bps)
------------------------------------------------------------------------------
Matched                           1/90                          1/96          
   Passed                          1/90                          1/96          
   Dropped                         0/0                           0/0           
     Filter                        0/0                           0/0           
     CAR                           0/0                           0/0           
   Queue Matched                   0/0                           0/0           
     Enqueued                      0/0                           0/0           
     Discarded                     0/0                           0/0           
   CAR                             0/0                           0/0           
     Green packets                 0/0                           0/0           
     Yellow packets                0/0                           0/0           
     Red packets                   0/0                           0/0      


La información anterior indica que el AR1220 envía paquetes telnet desde el 192.168.9.253 pero no reenvía los paquetes a través del cifrado IPSec. Se sospecha que el dispositivo realiza el cifrado IPSec para paquetes ICMP y otros procesos de reenvío para paquetes que no son ICMP.


4. Verifique la configuración en la interfaz. Se encuentra que NAT SERVER está configurado para la dirección 192.168.9.253 para que la red externa pueda acceder a la dirección de intranet 192.168.9.253 y su número de puerto.


interface GigabitEthernet0/0/0

description to_Internet

tcp adjust-mss 1200
ip address 172.XX.20.10 255.255.255.0
nat server protocol tcp global current-interface 8080 inside 192.168.9.253 8080
nat outbound 3000
ipsec policy center_vpn


Verifique la sesión NAT de la dirección. Se encuentra que los paquetes de datos se traducen a la red pública cuando el 192.168.9.253 accede a la dirección del peer


1



5. Después de que el servidor nat se cambia a nat static, telnet es normal.


nat static protocol tcp global current-interface 8080 inside 192.168.9.253 8080


Causa principal

El servidor Nat est

á configurado en la interfaz de salida de la red pública. Como resultado, NAT se realiza en todos los paquetes TCP enviados desde 192.168.9.253. Por lo tanto, los paquetes traducidos no pueden ingresar al túnel IPSec. Después de cambiar la configuración a nat static protocol tcp global current-interface 8080 inside 192.168.9.253 8080, los servicios son normales. La NAT estática se realiza solo cuando la dirección de origen es 192.168.9.253 y el número de puerto TCP es 8080. Por lo tanto, la comunicación es normal después de que el servidor NAT se cambia a NAT estático.





  • x
  • convención:

pgladys
Publicado 2020-7-9 08:04:09
muchas gracias!
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.