目的：通過雙向NAT來更深的理解NAT在思科IOS中的數(shù)據(jù)包處理順序

創(chuàng)新互聯(lián)成立與2013年，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目成都網(wǎng)站建設(shè)、做網(wǎng)站網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元富縣做網(wǎng)站,已為上家服務(wù),為富縣各地企業(yè)和個人服務(wù),聯(lián)系電話:13518219792

前提：在真實環(huán)境中不會出現(xiàn)

環(huán)境：

將R1和R3模擬成PC，在不加網(wǎng)關(guān)的情況下，使兩者能夠正常通信。

定義R2的f0/0為ip nat inside；f1/0為ip nat outside。

我先貼出思科IOS的數(shù)據(jù)包處理的順序

NAT Overview
In this table, when NAT performs the global to local, or local to global, translation is different in each flow.
Inside-to-Outside	Outside-to-Inside
If IPSec then check input access list	If IPSec then check input access list
decryption - for CET (Cisco Encryption Technology) or IPSec	decryption - for CET or IPSec
check input access list	check input access list
check input rate limits	check input rate limits
input accounting	input accounting
redirect to web cache	redirect to web cache
policy routing	NAT outside to inside (global to local translation)
routing	policy routing
NAT inside to outside (local to global translation)	routing
crypto (check map and mark for encryption)	crypto (check map and mark for encryption)
check output access list	check output access list
inspect (Context-based Access Control (CBAC))	inspect CBAC
TCP intercept	TCP intercept
encryption	encryption
Queueing	Queueing

可以看到在不同方向上的NAT是有區(qū)別的：1、inside source static是要先路由，然后才能NAT

                                     2、outside source static是要先NAT，然后才路由

我們先來配置R2：

當(dāng)R1的數(shù)據(jù)從inside去往outside的時候會首先檢查路由表，然后查看NAT條目，轉(zhuǎn)換成172.16.1.101這個ip地址

試想一下，如果要訪問R3的ip地址：172.16.1.1肯定要找網(wǎng)關(guān)，因為沒有網(wǎng)關(guān)，所以，我們將172.16.1.1這個ip地址轉(zhuǎn)換成192.168.1.101，這時候R1區(qū)訪問的就不是172.16.1.1而是192.168.1.101

這時候我們看看arp緩存表

如果是在juniper或者check point防火墻上就需要配置proxy-arp，手動添加ARP條目

這時候讓R1如訪問192.168.1.101，因為要從R2的接口上獲取到了ARP條目，所以將源：192.168.1.1目的：192.168.1.101的數(shù)據(jù)包丟給了R2的f0/0，R2會首先查看是否有到192.168.1.101的路由，但是因為有一條直連路由192.168.1.0直連在f0/0上的，R2會認(rèn)為這是“無理取鬧”的數(shù)據(jù)丟棄。因為丟棄了所以不進行下一步將192.168.1.1轉(zhuǎn)換成172.16.1.101；將192.168.1.101轉(zhuǎn)換成172.16.1.1。

可以看到R2的f0/0因為有ARP條目回應(yīng)了R1但是卻沒有將數(shù)據(jù)轉(zhuǎn)換，沒有讓telnet通過

正好我們來看看R3訪問172.16.1.101的時候是不是先進行NAT轉(zhuǎn)換的

可以看到172.16.1.1訪問172.16.1.101的時候轉(zhuǎn)換成192.168.1.101，之后172.16.1.101轉(zhuǎn)換成了192.168.1.1，同時R2也將該數(shù)據(jù)包轉(zhuǎn)發(fā)給了R1，但是因為R1回數(shù)據(jù)的時候沒有路由，也不能進行轉(zhuǎn)換，所以回話沒有成立。

所以，讓回話沒有成立的根源就在于，R2上沒有沒有到192.168.1.101的路由，那么我們在R2上添加192.168.1.101的路由，下一跳從f1/0轉(zhuǎn)發(fā)出去。

這時候我們再從R1發(fā)送數(shù)據(jù)到192.168.1.101

可以看到收到了192.168.1.101的回包，并且成功telnet

再看看R2上的轉(zhuǎn)換

192.168.1.1去訪問192.168.1.101，R2看到有路由是通往f1/0的，然后查看NAT條目

192.168.1.1轉(zhuǎn)換成172.16.1.101，然后目的192.168.1.101轉(zhuǎn)換成172.16.1.1，就變成了源地址：172.16.1.101，目的地址：172.16.1.1，接著從f1/0轉(zhuǎn)發(fā)出去。

172.16.1.1收到了包，看到源地址是：172.16.1.101，然后回包給172.16.1.101，轉(zhuǎn)換成192.168.1.101，再將172.16.1.101轉(zhuǎn)換成192.168.1.1，就變成了源地址：192.168.1.101，目的地址：192.168.1.1，然后從f0/0轉(zhuǎn)發(fā)出去。

網(wǎng)站名稱：思科路由器的雙向NAT
文章位置：http://chinadenli.net/article8/jiicip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊、用戶體驗、、網(wǎng)站排名、外貿(mào)網(wǎng)站建設(shè)、動態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)