Serveur NAT et NAT statique

8 0 0 0

Le serveur NAT et NAT statique sont deux techniques couramment utilisées.

Pour l'accès du réseau public au réseau privé, le serveur NAT et les modes statiques NAT sont les mêmes. Pour l'accès du réseau privé au réseau public, le mode serveur NAT traduit uniquement l'adresse IP, tandis que le mode statique NAT traduit à la fois l'adresse IP et le port. C'est facile à confondre. Permettez-moi de partager un cas connexe avec vous.

Description du problème

Topologie:

192.168.14.19 ---- Appareil homologue --- Tunnel --- AR1220 ---- 192.168.9.253

L'AR1220 établit un tunnel IPSEC avec le périphérique homologue. Une fois le tunnel établi, les adresses IP internes des deux extrémités peuvent faire l'objet d'un ping. Cependant, la passerelle de réseau interne de l'ar1220 (192.168.9.253) ne peut pas telnet la passerelle de réseau interne du périphérique homologue.

Procédure de manipulation

1. Vérifiez le flux de données de chiffrement et les informations du tunnel IPSEC SA aux deux extrémités. L'information est normale. Les informations associées sont les suivantes:

dis ipsec sa
===============================
Interface: GigabitEthernet0/0/0
Path MTU: 1500
===============================
  -----------------------------
  IPSec policy name: "center_vpn"
  Sequence number  : 1
  Acl group        : 0
  Acl rule         : 0
  Mode             : Template
  -----------------------------
    Connection ID     : 1481
    Encapsulation mode: Tunnel
    Tunnel local      : 172.x.20.10
    Tunnel remote     : 172.x.10.10
    Flow source       : 192.168.9.0/255.255.255.0 0/0
    Flow destination  : 192.168.14.0/255.255.255.0 0/0
    Qos pre-classify  : Disable
    Qos group         : -

    [Outbound ESP SAs]
      SPI: 3354115212 (0xc7ebbc8c)
      Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 0/2949
      Outpacket count       : 0          
      Outpacket encap count : 0          
      Outpacket drop count  : 0          
      Max sent sequence-number: 0        
      UDP encapsulation used for NAT traversal: N
                                         
    [Inbound ESP SAs]                    
      SPI: 1560642734 (0x5d0584ae)
      Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 0/2949
      Inpacket count        : 0
      Inpacket decap count  : 0
      Inpacket drop count   : 0
      Max received sequence-number: 0
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N
dis ike sa
    Conn-ID  Peer            VPN   Flag(s)                Phase 
  ---------------------------------------------------------------
     1481    172.x.10.10   0     RD                     2    
     1478    172.x.10.10   0     RD                     1    

2. En utilisant la commande d isplay ipsec statistics esp , la sortie montre qu'il n'y a pas de comptage de paquets pendant le test telnet, mais les paquets sont comptés pendant le test ping.

dis ipsec statistics esp                                  

Inpacket count            : 0

Inpacket auth count       : 0

Inpacket decap count      : 0

Outpacket count           : 0

Outpacket auth count      : 0

Outpacket encap count     : 0

Inpacket drop count       : 0

Outpacket drop count      : 0

BadAuthLen count          : 0

AuthFail count            : 0

InSAAclCheckFail count    : 0

PktDuplicateDrop count    : 0

PktSeqNoTooSmallDrop count: 0

PktInSAMissDrop count     : 0


3. Les paquets capturés et les statistiques de trafic montrent que l'AR1220 a envoyé des paquets Telnet.

Interface: Vlanif1
Traffic policy inbound: a
Rule number: 1
Current status: OK!
Item                    Sum(Packets/Bytes)               Rate(pps/bps)
------------------------------------------------------------------------------
Matched                           1/90                          1/96          
   Passed                          1/90                          1/96          
   Dropped                         0/0                           0/0           
     Filter                        0/0                           0/0           
     CAR                           0/0                           0/0           
   Queue Matched                   0/0                           0/0           
     Enqueued                      0/0                           0/0           
     Discarded                     0/0                           0/0           
   CAR                             0/0                           0/0           
     Green packets                 0/0                           0/0           
     Yellow packets                0/0                           0/0           
     Red packets                   0/0                           0/0      

Les informations précédentes indiquent que l'AR1220 envoie des paquets Telnet à partir du 192.168.9. 253 mais ne transfère pas les paquets via le cryptage IPSec. Il est suspecté que le périphérique effectue le chiffrement IPSec pour les paquets ICMP et d'autres processus de transfert pour les paquets non ICMP.

4. Vérifiez la configuration sur l'interface. Il est constaté que NAT SERVER est configuré pour l'adresse 192.168.9.253 afin que le réseau externe puisse accéder à l'adresse intranet 192.168.9.253 et à son numéro de port.


interface GigabitEthernet0/0/0
description to_Internet

tcp adjust-mss 1200
ip address 172.XX.20.10 255.255.255.0
nat server protocol tcp global current-interface 8080 inside 192.168.9.253 8080
nat outbound 3000
ipsec policy center_vpn

Vérifiez la session NAT de l'adresse. On constate que les paquets de données sont traduits sur le réseau public lorsque le 192.168.9.253 accède à l'adresse du pair.

1

5. Une fois le serveur nat changé en nat statique, telnet est normal.

nat static protocol tcp global current-interface 8080 inside 192.168.9.253 8080

Cause première

Le serveur Nat est configuré sur l'interface sortante du réseau public. Par conséquent, le NAT est exécuté sur tous les paquets TCP envoyés à partir du 192.168.9.253. Par conséquent, les paquets traduits ne peuvent pas entrer dans le tunnel IPSec. Une fois la configuration modifiée en protocole statique nat tcp global current-interface 8080 dans 192.168.9.253 8080 , les services sont normaux. Le NAT statique NAT est effectué uniquement lorsque l'adresse source est 192.168.9.253 et que le numéro de port TCP est 8080. Par conséquent, la communication est normale après que le serveur NAT est devenu NAT statique.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier