Cisco Router NAT 구성에서이 세 가지 옵션은 무엇을 의미합니까?

하나의 IP : Port 조합이 항상 다른 IP : Port 조합에 매핑되는 표준 정적 PAT 구성에서는 구성 할 수있는 내부 / 외부 / 소스 / 대상의 조합이 세 가지 있습니다.

예를 들어, 이것은 구성 예입니다.

ip nat inside source static tcp 10.0.20.13 8080 2.2.2.33 80
       ^^^^^^^^^^^^^

일반인의 관점에서이 구성을 사용하면 외부 호스트가 포트 80을 통해 IP 2.2.2.33에 대한 TCP 연결을 시작할 수 있습니다.이 패킷이 라우터에 도달 하면 대상 IP 주소 및 포트 ( 2.2.2.33:80) 가로 변환됩니다 10.0.20.13:8080.

내부 호스트 10.0.20.13이 소스 포트가 8080 인 TCP 패킷을 보내면이 패킷이 라우터를 통과 할 때 소스 IP와 포트 ( 10.0.20.13:8080) 가로 변환됩니다 2.2.2.33:80. (이것은 일반적으로 내부 호스트에서 시작된 것이 아니라 응답 패킷입니다 )

위의 표시된 부분에 대한 세 가지 구성 옵션이 모두 있습니다.

Router(config)#ip nat inside ?
  destination  Destination address translation
  source       Source address translation

Router(config)#ip nat outside ?
  source  Source address translation

실제로 다음을 구성 할 수 있습니다.

• 소스 정적 tcp {IP} {Port} {IP} {Port} 내부의 IP NAT
• 대상 정적 TCP 내부의 IP NAT 정적 TCP {IP} {포트} {IP} {포트}
• 소스 정적 tcp {IP} {Port} {IP} {Port} 외부의 IP NAT

이러한 옵션은 어떻게 다릅니 까? 세 가지 옵션 각각은 언제 사용합니까? 내가 한 것처럼 평신도의 용어를 사용하여 각각 장치를 통해 들어오는 패킷을 조작하는 방법을 설명하십시오.

또한 외부 대상 옵션 이없는 이유를 아는 사람이 있습니까?

이것에 대해 매우 신중하게 생각하십시오.

내부 소스는 네트워크 내부에서 발생하는 트래픽에서 소스 주소를 변환하려는 것을 의미합니다. 이것은 공용 인터넷에서 개인 주소를 사용할 수있는 일반적인 "홈 네트워킹"배열입니다. 물론 이것은이 버전에서만 사용되는 것은 아닙니다.

내부 대상은 외부 주소에서 특정 대상 전송 프로토콜 및 포트로 들어오는 트래픽이 특정 내부 주소로 이동하는 것을 의미합니다. 개인 사용자의 웹 서버와 같은 것이 공용 인터넷에서 액세스 될 수 있도록하기 위해 가정 사용자가하는 일입니다. 물론 이것은이 버전에서만 사용되는 것은 아닙니다.

외부 소스는 외부에서 시작된 트래픽을 내부 주소에서 시작된 것처럼 보이도록 변환합니다. IP 주소 범위가 겹치는 회사가 병합되어 네트워크 연결을 시작해야하는 경우에 유용합니다. 일반적으로 내부 주소와 충돌하는 외부 소스 주소가있는 외부에서 발생하는 트래픽의 소스 주소를 사용 가능한 내부 주소 범위의 소스 주소 주소로 변환 할 수 있습니다.

외부 목적지는 포트 포워딩의 반대이므로 실제로 의미가 없습니다. 이는 특정 외부 전송 프로토콜 및 포트로 향하는 내부에서 발생하는 모든 트래픽을 단일 외부 주소로 제한합니다.

기본부터 시작해야하므로 NAT 용어를 수정하겠습니다. NAT는 IP 주소를 IP 패킷으로 변환합니다. 그게 무슨 뜻이야? 기본적으로 신기루를 만듭니다. 예, 착시 현상입니다. 예를 들어 개인 주소가 지정된 LAN 호스트가 외부 라우터 인터페이스의 공용 IP 주소를 사용하여 인터넷에 액세스 할 때 일반적인 NAT 구성에서 이러한 호스트는 인터넷 서버에이 공용 IP (또는 공용 IP 풀의 IP)가있는 것으로 나타납니다. NAT는 물론 새로운 물리적 호스트를 생성하지는 않지만 일종의 새로운 가상 엔티티를 생성합니다.이 예에서 LAN 호스트는 192.168.1.x라고 말하지만 인터넷 서버는 203.0.113.x- 한 세트의 물리적 호스트와 두 세트의 IP 주소. 두 개의 서로 다른 (논리적) 호스트 세트. 착시. 그리고 용어는 다음과 같습니다.

• 내부 로컬 -인터페이스에 할당되고 서로 볼 때 내부 호스트의 "실제"IP 주소
• 내부 글로벌 -외부 세계에서 볼 수있는 "신규"IP 주소
• 외부 글로벌 -외부 호스트가 "거의"전체 인터넷에서 볼 수있는 "실제"IP 주소
• 외부 로컬 -외부 호스트를 볼 때 "미러링"IP 주소 (NAT에게 해당 번역을 요청한 경우)

보시다시피, 우리는 네트워크와 인터넷 또는 다른 외부 네트워크를 구분해야합니다. 라우터의 IP 인터페이스를 ip nat inside 또는 ip nat outside로 표시 하면됩니다. 동의하십니까?

이제 NAT가 일반적으로 구현되는 방식을 기억해 봅시다. 번역에 대한 항목이 포함 된 특수 테이블을 유지 관리합니다. 중요한 점은 이러한 항목을 정적으로 또는 동적으로 만들 수 있다는 것입니다 . 동적으로 생성 된 항목의 경우 트래픽 방향이 중요합니다. 트래픽이 내부에서 외부로 또는 그 반대로 시작됩니까? 정적 항목의 경우 이는 대칭 이 아닙니다 . static 키워드 를 포함하는 NAT 구성 명령문 은 실행중인 구성에 삽입 한 직후 정적 항목을 작성합니다. 와 그 동적는 흥미로운 트래픽을 감시하고 동적으로 다음 결국 시간이됩니다 번역 항목을 만들 키워드.

외부 질문 옵션 이없는 이유는 무엇입니까? 소스 정적 내부의 ip nat 는 설명 된대로 정확하게 변환되는 정적 NAT 항목을 작성하지만 여기에는 특정 측면에서 시작된 트래픽 만이 포함됩니다. 정적 NAT 항목은 대칭입니다. 따라서 ip nat outside destination static 은 외부 에서 네트워크로 들어오는 트래픽의 대상 IP 주소 와 내부 에서 들어오는 트래픽에 대한 소스 IP 주소를 변환하기위한 정적 항목을 생성합니다. 그러나 이것은 정확히 소스 정적 내부의 ip nat입니다명령은 않습니다! 따라서이 명령을 사용하는 것은 단순히 중복됩니다. 유일한 차이점은 기본적으로 동일한 명령의 하나 이상의 양식을 사용할 때 소스를 대상 ip와 교환한다는 것입니다.

첫 번째 진술과 관련하여 "구성 할 수있는 내부 / 외부 / 소스 / 대상의 조합은 세 가지가 있습니다"-이것은 그렇지 않습니다. 요점은 일반적으로 NAT 구성 설명은 "수학 공식"이 아니며 전체적으로 고려되어야하며 독립 키워드로 논리적으로 구축되지 않아야한다는 것입니다. 따라서 각 "콤비네이션"은 특정 작업에 대한 솔루션을 제공합니다. 예를 들어 대상 목록 내의 ip nat 는 특정 알고리즘을 사용하고 UDP에서는 작동하지 않는 서버 TCP로드 균형 조정을 구성하는 데 사용됩니다. 또한 (현대 IOS에서는) 대상 정적 명령 안에 ip nat 가 없습니다. 실제로 정적 옵션으로 시도 했습니까?

이 Cisco 백서의 구성 예제를 포함하여 NAT를 사용하는 특정 시나리오를 볼 수 있습니다. http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/12-2sx /nat-12-2sx-book/iadnat-addr-consv.html

마지막으로, 때때로 NAT가 당신이 원하는 것이 아니라고 언급하고 싶습니다. 예를 들어,이 "정식적인 질문"에 대한 나의 대답을보십시오 : /server/55611/loopback-to-forwarded-public- ip- 주소-로컬-네트워크-머리핀 -nat / 733532 # 733532

추신 : 자세한 내용을 살펴 봐야합니까?