Le serveur NAT et NAT statique sont deux techniques couramment utilisées.
Pour l'accès du réseau public au réseau privé, le serveur NAT et les modes statiques NAT sont les mêmes. Pour l'accès du réseau privé au réseau public, le mode serveur NAT traduit uniquement l'adresse IP, tandis que le mode statique NAT traduit à la fois l'adresse IP et le port. C'est facile à confondre. Permettez-moi de partager un cas connexe avec vous.
Description du problème
Topologie:
192.168.14.19 ---- Appareil homologue --- Tunnel --- AR1220 ---- 192.168.9.253
L'AR1220 établit un tunnel IPSEC avec le périphérique homologue. Une fois le tunnel établi, les adresses IP internes des deux extrémités peuvent faire l'objet d'un ping. Cependant, la passerelle de réseau interne de l'ar1220 (192.168.9.253) ne peut pas telnet la passerelle de réseau interne du périphérique homologue.
Procédure de manipulation
1. Vérifiez le flux de données de chiffrement et les informations du tunnel IPSEC SA aux deux extrémités. L'information est normale. Les informations associées sont les suivantes:
dis ipsec sa
===============================
Interface: GigabitEthernet0/0/0
Path MTU: 1500
===============================
-----------------------------
IPSec policy name: "center_vpn"
Sequence number : 1
Acl group : 0
Acl rule : 0
Mode : Template
-----------------------------
Connection ID : 1481
Encapsulation mode: Tunnel
Tunnel local : 172.x.20.10
Tunnel remote : 172.x.10.10
Flow source : 192.168.9.0/255.255.255.0 0/0
Flow destination : 192.168.14.0/255.255.255.0 0/0
Qos pre-classify : Disable
Qos group : -
[Outbound ESP SAs]
SPI: 3354115212 (0xc7ebbc8c)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
SA remaining key duration (bytes/sec): 0/2949
Outpacket count : 0
Outpacket encap count : 0
Outpacket drop count : 0
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N
[Inbound ESP SAs]
SPI: 1560642734 (0x5d0584ae)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
SA remaining key duration (bytes/sec): 0/2949
Inpacket count : 0
Inpacket decap count : 0
Inpacket drop count : 0
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
dis ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
1481 172.x.10.10 0 RD 2
1478 172.x.10.10 0 RD 1
2. En utilisant la commande d isplay ipsec statistics esp , la sortie montre qu'il n'y a pas de comptage de paquets pendant le test telnet, mais les paquets sont comptés pendant le test ping.
dis ipsec statistics esp
Inpacket count : 0
Inpacket auth count : 0
Inpacket decap count : 0
Outpacket count : 0
Outpacket auth count : 0
Outpacket encap count : 0
Inpacket drop count : 0
Outpacket drop count : 0
BadAuthLen count : 0
AuthFail count : 0
InSAAclCheckFail count : 0
PktDuplicateDrop count : 0
PktSeqNoTooSmallDrop count: 0
PktInSAMissDrop count : 0
3. Les paquets capturés et les statistiques de trafic montrent que l'AR1220 a envoyé des paquets Telnet.
Interface: Vlanif1
Traffic policy inbound: a
Rule number: 1
Current status: OK!
Item Sum(Packets/Bytes) Rate(pps/bps)
------------------------------------------------------------------------------
Matched 1/90 1/96
Passed 1/90 1/96
Dropped 0/0 0/0
Filter 0/0 0/0
CAR 0/0 0/0
Queue Matched 0/0 0/0
Enqueued 0/0 0/0
Discarded 0/0 0/0
CAR 0/0 0/0
Green packets 0/0 0/0
Yellow packets 0/0 0/0
Red packets 0/0 0/0
Les informations précédentes indiquent que l'AR1220 envoie des paquets Telnet à partir du 192.168.9. 253 mais ne transfère pas les paquets via le cryptage IPSec. Il est suspecté que le périphérique effectue le chiffrement IPSec pour les paquets ICMP et d'autres processus de transfert pour les paquets non ICMP.
4. Vérifiez la configuration sur l'interface. Il est constaté que NAT SERVER est configuré pour l'adresse 192.168.9.253 afin que le réseau externe puisse accéder à l'adresse intranet 192.168.9.253 et à son numéro de port.
interface GigabitEthernet0/0/0
description to_Internet
tcp adjust-mss 1200
ip address 172.XX.20.10 255.255.255.0
nat server protocol tcp global current-interface 8080 inside 192.168.9.253 8080
nat outbound 3000
ipsec policy center_vpn
Vérifiez la session NAT de l'adresse. On constate que les paquets de données sont traduits sur le réseau public lorsque le 192.168.9.253 accède à l'adresse du pair.
5. Une fois le serveur nat changé en nat statique, telnet est normal.
nat static protocol tcp global current-interface 8080 inside 192.168.9.253 8080
Cause première
Le serveur Nat est configuré sur l'interface sortante du réseau public. Par conséquent, le NAT est exécuté sur tous les paquets TCP envoyés à partir du 192.168.9.253. Par conséquent, les paquets traduits ne peuvent pas entrer dans le tunnel IPSec. Une fois la configuration modifiée en protocole statique nat tcp global current-interface 8080 dans 192.168.9.253 8080 , les services sont normaux. Le NAT statique NAT est effectué uniquement lorsque l'adresse source est 192.168.9.253 et que le numéro de port TCP est 8080. Par conséquent, la communication est normale après que le serveur NAT est devenu NAT statique.