Cisco NATヘアピニング

8

CiscoルータにNATが設定されています(4つのスタティックNATおよびダイナミックNAT)。私の問題は、内部ネットワークからパブリックIPアドレスを使用して内部サーバーにアクセスできないことです。

私は問題が何であるかを知っています。私はこの問題について多くのGoogle検索を行い、ほとんどのファイアウォール/ルーターがこの状況を自動的に処理することを学びました。

シスコの場合、NATヘアピニングがソリューションの1つです(私が正しいかどうかはわかりません)。どうやってやるの?。

ここに画像の説明を入力してください

202.192.68.235PCからIPアドレスを使用してサーバーにアクセスする必要がありますが、アクセスできません。

cisco  routing  router  nat 
サリーシュムネア
ソース
ルーターの図と構成を投稿できますか?あなたを助けるのに十分な情報がありません。
ロントランク
私の質問を編集しました。これが
役に立つ
1
残念ながら、ルーターに希望どおりの動作をさせることはできません。現在の構成では、外部アドレスを使用してサーバーにアクセスすることはできません。
ロントランク
実際にIPアドレスを使用する必要がありますか、それともDNS名を使用できますか?ローカルDNSを変更して、パブリックIPアドレスの代わりにローカルIPアドレスを返すことができます。
ロンモーピン
1
シスコは「それをしません」。それを機能させるためにいくつかのハックが関与していますが、あなたは本当にそこに行きたくありません。基本的に、NATはインターフェイスで受信したパケットに適用されます。内部トラフィックは「外部」インターフェイスを通過しないため、変換されることはありません。IOSでは、ループバックインターフェイスとポリシールーティングがそれを引き起こす可能性がありますが、それは設定の混乱と処理の悪夢です。
リッキービーム

回答:

3

NVI NATはすでにアーロンDによって育てられました。

以下は、実際の例に関連する構成ビットです。IOS 15.4(3)M6aを搭載したCISCO881で行われました

Outside network: 172.19.31.0 /24   on  FastEthernet4
Inside network:  172.19.140.0 /23  on VLAN141/SVI141
exposed host:    172.19.141.24
external port:   2222
internal port:   22

インターフェイス構成:

interface FastEthernet4
 ip address 172.19.31.2 255.255.255.0
 ip nat enable

interface Vlan141
 ip address 172.19.140.1 255.255.254.0
 !
 ! hairpinning did not work until ip redirects were disabled
 !
 no ip redirects
 ip nat enable

NAT ACL:

ip access-list standard ACLv4_SUBNET141
 permit 172.19.140.0 0.0.1.255

NATルール:

ip nat source static tcp 172.19.141.24 22 interface FastEthernet4 2222
ip nat source list ACLv4_SUBNET141 interface FastEthernet4 overload

手短に:

  1. 関連するインターフェイスを「ip nat in / outside」ではなく「ip nat enable」に設定し、NATルールをわずかに変更します。
  2. NVI NATスタイルのアウトバウンドポリシーがあることを確認してください。そうしないと、ヘアピン接続可能なホストがアウトバウンドまたはヘアピンに接続できなくなります。
  3. 「内部」インターフェースでIPリダイレクトを無効にするか、ヘアピン(少なくともホスト自体から)は機能しません。

注意: NVI NATは、800シリーズのようなローエンドルーターのCPUに非常に負担をかける可能性があります。以前の881では50-60Mbit / sをクラシックNATで配信できましたが、NVIに切り替えるとスループットが20-30Mbit / sに低下し、負荷がかかっているときにCPUが赤く光っていました。

これは、ヘアピンされる変換が実際には使用されておらず、トラフィックが通常の「インターフェイス...過負荷」のアウトバウンドNATルールと一致している場合にも当てはまります。

マルク・ネッツティエ・ルエティ
ソース
0

これは、同じネットワークへのポート転送の場合です。このようなDMZのセットアップでは、ヘアピニングが好ましいか、ローカルDNSを使用してこのような内部サーバーを解決します。それらとは別に、同等の解決策があります。

解決策は持っているあなたのLANゾーンのDNATルールをもその宛先IPのパケットこと202.192.68.235ローカルクライアントからは、に変換することができ10.0.6.35およびルータによって、同じネットワークにルーティングされたバック。

しかし、やはり問題は、サーバーが同じネットワークに属しているため、サーバーがクライアントに直接応答しようとすることです。次に、サーバーにルーター経由でクライアントに応答させるには、ソースをルーターにするSNATルールを追加する必要があります。

SNATルールは、ローカルサブネットから送信され、10.0.6.35宛てのトラフィックにのみ適用されるように、非常に具体的でなければなりません。これはあなたの問題を確実に解決します。

要約すると、LANインターフェースのDNATとSNATルールを追加する必要があります。

酵素
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.