NAT,你真的学好了吗?

 

今天在进行一个ipsec穿越nat的实验中遇见了不少问题,上cisco网站找了些资料,发现自己对nat认识的太浅薄了。晚上来做做NAT的实验遇到了更大的问题,让我不得不重新审视NAT

下面是一些需要解决的问题。

1.  静态NAT与动态NAT谁更优先?

2.  加密发生在NAT之前还是之后?

3.  NAT发生在路由之前还是之后?

4.  Ip nat inside outside到底如何定义?

5.  如何实现在NAT中的策略控制?

6.  如何利用NAT进行负载均衡?

7.  如何利用NAT实现ISP多归属?

8.  Ip nat outside sour一般用在什么地方?

9.  ×××是如何实现NATPAT的?

10NAT支持组播吗?

 

 

解答:

1.  静态NAT优先于动态NAT,因此如果一台路由器上同时部署静态和动态NAT的话请确保他们转换的IP段没有重叠

2.  加密发生在NAT之后,如果发生在NAT之前的话他也就不会给×××带来问题了

3.  这个取决于地址转换的方向,如果是本地地址往全局地址转换,路由发生在NAT之前,如果全局地址往本地地址转换,路由发生在NAT之后。

4.  INSIDE用于内部网络接口,OUTSIDE用于外部网络接口。当内部往外部转换的时候,路由首先要确定外部是否是可达的,这个可达的地址必须是定义了IP NAT OUTSIDE的接口,否则转换不会发生

5.  Cisco在静态NAT中提供了route-map实现对网段转换的灵活控制

。。。。。

10.              NAT无条件的支持组播

 

Ip nat inside sourceIL-----IG

Ip nat inside destinationIG----IL

Ip nat outside sourceOG-----OL

注意上图中数据报发出的地址类型,在内部网络里源和目的都是本地,在外部网络里,源和目的都是全局。

 

路由器接口执行的一系列检查的顺序

Inside-to-Outside

Outside-to-Inside
  • If IPSec then check input access list
  • decryption - for CET (Cisco Encryption Technology) or IPSec
  • check input access list
  • check input rate limits
  • input accounting
  • redirect to web cache
  • policy routing
  • routing
  • NAT inside to outside (local to global translation)
  • crypto (check map and mark for encryption)
  • check output access list
  • inspect (Context-based Access Control (CBAC))
  • TCP intercept
  • encryption
  • Queueing
  • If IPSec then check input access list
  • decryption - for CET or IPSec
  • check input access list
  • check input rate limits
  • input accounting
  • redirect to web cache
  • NAT outside to inside (global to local translation)
  • policy routing
  • routing
  • crypto (check map and mark for encryption)
  • check output access list
  • inspect CBAC
  • TCP intercept
  • encryption
  • Queueing