ip nat outside/inside source 问题

icebear_sx · 发表于 2021-7-21 10:12:40

本帖最后由 icebear_sx 于 2021-7-21 10:45 编辑

大神好！
现在有个关于ip nat outside source的转换问题想请教一下大家，问题如下！
1）先上拓扑图：

2）实验目的：rx1 设备能够通过 10.10.10.254 来 telnet rx2设备
3）具体配置
RX1的配置：

interface f0/0

ipadd 172.168.1.1 255.255.255.252

ipnat inside

interface loopback 0

ipadd 10.10.10.1 255.255.255.0

ipnat outside

ip nat inside sourcestatic tcp 20.20.20.1 23 10.10.10.254 23

ip route 20.20.20.0255.255.255.0 172.168.1.2

RX2的配置：

interface f0/0

ipadd 172.168.1.2 255.255.255.252

interface loopback 0

ipadd 20.20.20.1 255.255.255.0

ip route 10.10.10.0255.255.255.0 172.168.1.1

line vty 0 4

password cisco

login

4）结果：rx1 无法通过 10.10.10.254 来实现 telnet rx2 设备

5）修正方法：在 rx1 设备上新增命令：ip nat outside source static10.10.10.1 10.10.10.254

6）问题：如果10.10.10.254 这个 ip 地址替换成 rx2 的 fa0/0 地址，上面这条 ip nat outside 就不用加了，为什么要加上这条命令？

7）以下是我的一些个人理解，请大神们帮忙看看理解是否有偏差，谢谢！

个人的一些理解-1：从rx1 -》rx2 的过程，DIP（10.10.10.254:23）SIP（10.10.10.1:any），到了 outside 口，先nat后查路由表，变更后的ip包头信息为DIP（20.20.20.1:23）SIP（10.10.10.1:any）；接下来回程rx2 -》rx1，DIP（10.10.10.1:any）SIP（20.20.20.1:23），到了inside口，先查路由后nat，变更后的ip包头信息为DIP（10.10.10.1:any）SIP（20.20.20.1:23），这个时候个人感觉DIP的10.10.10.1是可以访问的，不存在路由问题，应该回包是能到达rx1的，那最后实验结果却是无法创建 telnet 的 tcp 连接，请问这个什么原因？

个人的一些理解-2： ip nat inside sourc：就是在 ouside -》inside方向上针对 DIP 将 inside global 地址转换为 inside local，inside -》outside 方向上针对 SIP 将 inside local 地址转换为 inside global。

个人的一些理解-3：inside global：10.10.10.254，inside local：20.20.20.1，outside global：10.10.10.1，outside local：10.10.10.254

zeally · 发表于 2021-7-21 11:29:20

SNAT 执行原则，先路由，再考虑NAT

zeally · 发表于 2021-7-21 11:29:55

DNAT，是先查NAT会话表，再执行查路由表

icebear_sx · 发表于 2021-7-21 12:14:08

本帖最后由 icebear_sx 于 2021-7-21 14:14 编辑

zeally 发表于 2021-7-21 11:29
SNAT 执行原则，先路由，再考虑NAT

同样是SNAT，有个问题，针对这条命令：ip nat inside sourcestatic tcp 20.20.20.1 23 10.10.10.254 23
1）如果从外到内访问（outside-》inside），如果按照你的说法先路由再nat，这个时候的数据包DIP（10.10.10.254）SIP（10.10.10.1），这个时候无法路由吧？
2）相反，如果从内到外访问（inside-》outside），这个时候的数据包DIP（10.10.10.1）SIP（10.10.10.254），到了nat路由器，先查路由表，是可以找到目的ip，然后再针对SIP进行转换，您看下面思科官方的解释是区分方向的

zeally · 发表于 2021-7-21 14:10:38

1. 你要带上source IP 去 telnet，

zeally · 发表于 2021-7-21 14:11:06

2. NAT是需要满足条件的，不然NAT转换会发生失败

icebear_sx · 发表于 2021-7-21 14:16:02

zeally 发表于 2021-7-21 14:11
2. NAT是需要满足条件的，不然NAT转换会发生失败

那我请问一下，我不加outside source，只有inside source的理解过程哪里有问题？

icebear_sx · 发表于 2021-7-21 14:39:46

zeally 发表于 2021-7-21 14:11
2. NAT是需要满足条件的，不然NAT转换会发生失败

哈哈哈，发现问题所在了，果然是出口问题，要带源，谢谢高手了！！

icebear_sx · 发表于 2021-7-21 14:48:54

zeally 发表于 2021-7-21 14:11
2. NAT是需要满足条件的，不然NAT转换会发生失败

诶，高手，前面瞎激动了一般，带源也不对，也telnet不通

icebear_sx · 发表于 2021-7-23 11:15:05

zeally 发表于 2021-7-21 14:11
2. NAT是需要满足条件的，不然NAT转换会发生失败

大神，大神，在嘛？指教一下？

boat123 · 发表于 2021-7-24 23:30:53

source IP

boat123 · 发表于 2021-7-24 23:32:54

source IP

icebear_sx · 发表于 2021-7-27 11:15:13

zeally 发表于 2021-7-21 14:11
2. NAT是需要满足条件的，不然NAT转换会发生失败

大神，在不？

账号		自动登录	找回密码
密码			论坛注册

[求助] ip nat outside/inside source 问题

浏览过的版块

客服中心

投诉建议