タグ付けされた質問 「nat」

VMがシミュレーションスイートを実行しているVMware環境があります。使用されているソフトウェアには、ハードコードされたIPアドレス（約10〜15個のVM）があり、このソフトウェアの複数のインスタンスをそれぞれ異なる分散ポートグループで実行しています。したがって、SIM1 VMセットにはVLAN10に192.168.1.0/24があり、SIM2にはVLAN20に192.168.1.0/24があります。 これは問題なく機能し、SIM1 VMがSIM2 VMと通信する必要はありません。新しい要件が出てきたので、進行状況をリモートで監視し、マシンの物理セットからデータを管理および共有できるようにする必要があります。管理PCは、Catalyst ciscoスイッチに接続されたVLAN200に存在します。 Distributed Switchに4x10gbeアップリンクがあります。私はそれらをいくつかのCisco 10gbeルーターに対して実行し（どのモデルがこれを実行するのか正確にはわかりませんが、VMへの10gbe接続を維持したい）、そのインターフェースをゲートウェイとして使用し、各仮想VLANのサブインターフェースでVRFを使用し、各仮想NATを仮想機械。したがって、SIM1 machine1にはIP 192.168.1.2があり、これは公に10.0.10.2にNAT変換します。4番目のオクテットはプライベートvm IPに一致し、3番目のオクテットはVLANに一致します。したがって、SIM2 machine1（192.168.1.2）は10.0.20.2にNAT変換します。管理側は、別のポートのサブインターフェイスであり、グローバルまたは共有VRFに存在することもできます。SIM2 machine1を管理するには、10.0.20.2を使用できるはずです。VRFとNAT間の共有ルートが機能していた場合。 私はGNS3で同様のものを構築しようとし始めて、すぐに圧倒されました。だから私は私のデザインが健全であるか、問題を処理する別のより健全な方法があるかどうかを確認したいと思います。またはこれを達成する方法についてのヒントやアドバイスはありますか？ ありがとう！ 編集：図を追加しました： つまり、SIM1-S1は10.0.10.2にNAT変換し、SIM1-S2は10.0.10.3にNAT変換します。SIM2-S1は10.0.20.2にNAT変換し、SIM2-S2は10.0.20.3にNAT変換します。 ...

8 cisco  vlan  nat  vrf 

ISPルーターの背後にCiscoルーターを配置する必要があります。（ISPでは、モデムのみの使用を許可していません。） 私はISPテクニカルサービスに電話をかけ、彼らは私との接続を設定しました。それらのルーターは、Ciscoルーターのゲートウェイとして使用されます。正しいIPアドレスでvlan20を構成し、それをISPルーターに接続されているGe0にリンクしました。そのVLANからインターネットにpingできます。 Ge1に接続する内部ネットワーク用のvlan10も作成しました。そのVLANから、インターネットにpingすることができません。 最後の手段としてゲートウェイを設定しようとしましたが、うまくいきませんでした。 以下は、セットアップ/構成の概要です。 interface GigabitEthernet0 switchport access vlan 20 no ip address interface GigabitEthernet1 switchport access vlan 10 no ip address interface Vlan10 ip address 192.9.200.253 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1412 interface Vlan20 ip address 81.246.66.67 255.255.255. ip route 0.0.0.0 0.0.0.0 81.246.66.66 …

8 routing  router  vlan  nat  cisco-ios 

CiscoルータにNATが設定されています（4つのスタティックNATおよびダイナミックNAT）。私の問題は、内部ネットワークからパブリックIPアドレスを使用して内部サーバーにアクセスできないことです。 私は問題が何であるかを知っています。私はこの問題について多くのGoogle検索を行い、ほとんどのファイアウォール/ルーターがこの状況を自動的に処理することを学びました。 シスコの場合、NATヘアピニングがソリューションの1つです（私が正しいかどうかはわかりません）。どうやってやるの？。 202.192.68.235PCからIPアドレスを使用してサーバーにアクセスする必要がありますが、アクセスできません。

8 cisco  routing  router  nat 

更新： ルートマップはIPアドレスでのみ一致し、ポートでは一致しないようです。今週、別のデバイス、モデル、ソフトウェアバージョンで別の状況が発生しました。最終的に、NATステートメントを次のように変更しました。 ip nat inside source static tcp 192.168.1.20 3389 xxxx 3389 次に、ルートマップではなくACLに基づいてアクセスを制限しました。条件付きNATを定義するのは良かったのですが、機能しないようです。 そのため、多数のお客様にホステッドNATソリューションを提供するためのかなり標準的なNATボックスのセットアップがあります。 基本的なトポロジは次のとおりです。 Cisco IOSソフトウェア、C2900ソフトウェア（C2900-UNIVERSALK9-M）、バージョン15.2（4）M3、リリースソフトウェア（fc2） 私が抱えている問題は、NATステートメントのroute-mapセクションに関係しています。 ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable ip access-list extended Customer1-forwarding-acl permit tcp host 10.1.10.201 host a.a.a.a eq 22 permit tcp host 10.1.10.201 host …

8 cisco  nat 

私は、UDPプロトコルで「穴を開ける」プロセスに関する記事を読んだだけです。どのように行われるかは理解していますが、最後に1つ質問があります。ランデブーサーバーとクライアントA、Bがあります。 クライアントAは、クライアントBのためにすでに穴を開けました。クライアントBは、ランデブーサーバーからNAT IPとNATポートを受信し、ランデブーサーバーと同じポートにデータを送信し始めます。NATがUDP接続用に開いている2番目のポートを知っているとしましょう。この2番目のポートからもパケットを送信できますか？または、ポートはすべての発信UDP接続で区別されますか？その場合、どうしてクライアントBとランデブーサーバーに同じポートを使用できるのでしょうか。クライアントAが穴を開け、クライアントBがこの特定の接続のためにNATがどの新しいポートを開いたかを知らなければならないときに、NATは新しいポートを開きませんか？ 私の質問が多少理解できるといいのですが。

8 nat  udp 

クライアントを私の会社に接続するためのASA5510があります。反対側のさまざまなベンダー（Cisco、Sonicwall、Zyxel、Checkpointなど）でサイト間IPSec VPNを使用しています。 すべてのリモートLANについて、ネットワーククライアントを単一のIPアドレスに変換します。例えば： Client1 192.168.1.0/24ダイナミックPAT（非表示）abc1 / 24 Client2 172.16.0.0/16ダイナミックPAT（非表示）abc2 / 24 Client3 172.17.4.0/26ダイナミックPAT（非表示）abc3 / 24 現在の構成ではすべてが正常に機能していますが、Client1と同じIPアドレスを持つ新しいクライアント（ClientN）ができました。「ClientN 192.168.1.0/24 Dynamic PAT（hide）abcn / 24」を試してみましたが、実行すると、Client1が接続を失い、ClientNのネットワークを削除する必要がありました... 同じリモートIPアドレスにVPNの使用を許可するアイデアはありますか？ ASDMを使用してASAをセットアップします。

8 cisco-asa  vpn  nat  ipsec 

簡単な質問と答えはもちろんレイヤ3ですが、PATはレイヤ4の機能であるポート番号を扱うため、レイヤ4でも機能していると言えますか？ それともレイヤ3プロトコルだけですか？

8 nat  layer3  layer4 

ワンアームSLB構成では、SNATを使用して、リターントラフィックがSLBを通過するように強制します。これには1つの欠点があります。単に、XFF（X-Forwarded-For）ヘッダーで渡され、Webサーバーがログに記録できる場合を除き、Webログは真のクライアントIPをキャプチャできないということです。 別の方法は、PBR（ポリシーベースのルーティング）を使用して戻りトラフィックをSLBに戻すことですが、SUP720 / PFC3Bを備えた6500Eプラットフォームで他に優れた解決策がない限り、PBRを回避しようとします-そして、私は特定のことを知っていますIOSバージョンも要因になる可能性があります-PBRがすべてハードウェアで行われていると仮定すると、PBRはSNATを実行するよりも遅延を追加しますか？ PBRが現在サポートされているコマンドのみを使用してハードウェアで実行される場合、将来IOSをアップグレードするとPBRがソフトウェア/プロセス切り替えで実行されるように変更される可能性はありますか？ 現在、当社のロードバランサーは、ほとんどのWebサーバーVLANの真後ろにあり（デフォルトのg / wはSLBを指しています）、非SLB VLANのSQLなどの他のサーバーです。ただし、このWeb-SQLトラフィックはSLBを通過します。私たちの目標は、SLBを超えないようにし、SQLトラフィックを分離したままにし、本当のクライアントをWebログに保持することです。PBRでのトラブルシューティングの複雑さを導入したくないので、将来的にハードウェアからソフトウェアにこの変更を処理する可能性があります。 前述のXFFとSNATが不足している場合、PBRはここでの唯一のオプションであり、PBRを緊密に構成しておくための最良の方法は何ですか？

8 cisco  nat  cisco-6500  pbr  load-balancer 

NATの概念に問題があります。ローカルとグローバルおよびNATオペレーションのシスコ定義は次のとおりです。 ローカルアドレス：ローカルアドレスは、ネットワークの内部に現れる任意のアドレスです。 グローバルアドレス-グローバルアドレスは、ネットワークの外部に表示される任意のアドレスです。 ネットワークの内部にあるパケットは、ネットワークの内部にある一方で、パケットの送信元アドレスとして内部ローカルアドレス、宛先アドレスとして外部ローカルアドレスを持っています。同じパケットが外部ネットワークに切り替えられると、パケットの送信元は内部グローバルアドレスと呼ばれ、パケットの宛先は外部グローバルアドレスと呼ばれます。 逆に、パケットがネットワークの外部にある場合、外部ネットワーク上にあるとき、そのソースアドレスは外部グローバルアドレスと呼ばれます。パケットの宛先は、内部グローバルアドレスと呼ばれます。同じパケットが内部ネットワークにスイッチングされる場合、送信元アドレスは外部ローカルアドレスと呼ばれ、パケットの宛先は内部ローカルアドレスと呼ばれます。 参照:: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094837.shtml#defining 私の質問は、「ローカル」という用語はネットワークのLAN側のトラフィックを意味し、「グローバル」という用語はネットワークのWAN側のトラフィックを意味するのでしょうか。 コマンド「ip nat inside destination」を使用すると、ローカルの内部アドレスとグローバルな内部アドレス間の変換を設定し、コマンド「ip nat outside source」の場合は、ローカル間の変換を設定します外部アドレスとグローバル外部アドレス、これは正しいですか？ 最後に、外部ローカルと内部グローバルの間にNATを設定する必要がないのはなぜですか？または外部グローバルと内部ローカル間のNAT？

8 cisco  cisco-commands  nat 

9.1.2を備えたASA5525-Xを持っています。その上にいくつかのインターフェースがありますが、主に私は見ています： （偽のサブネット） 10.0.0.0/24内、セキュリティレベル100 10.0.200.0/24外、セキュリティレベル0 DMZ 10.0.100.0/24、セキュリティレベル50 DMZにDNSサーバー10.0.100.1があり、内部から問題なくアクセスできます。ただし、インターネット上のユーザーには10.0.200.95（この例では実際のIPではありません）として表示されます。私はこれが機能するために必要だと思ったものを持っていますが、それをテストすると、パケットはデフォルトのACLによってドロップされています。 関連する構成要素： interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.0.200.194 255.255.255.192 interface GigabitEthernet0/6 nameif DMZ security-level 50 ip address 10.0.100.254 255.255.255.0 interface GigabitEthernet0/7 nameif inside security-level 100 ip address 10.0.0.254 255.255.255.0 object network DMZ-DNS-Server-1 host 10.0.100.1 nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination …

8 cisco  cisco-asa  nat 

ASAの外部インターフェイスでDMZ内のWebサーバーへのNATを実行します。可能なすべてのインターフェースでproxy-arpを無効にしたいと思います。NATステートメントのために、外部インターフェイスでproxy-arpを有効にする必要があることは知っています。DMZインターフェイスでもプロキシARPを有効にする必要がありますか？

8 cisco-asa  nat 

比較的noobの質問について事前に謝罪し、これがトピックから外れているかどうか（私はわかりません...） 状況としては、UDPクライアントとサーバーが同じポートにバインドされています。 NATについての私の理解では、クライアントから特定のエンドポイントに送信されるUDPパケットは、送信元ポートを宛先エンドポイントにマッピングするNATテーブルへの一時的なエントリになります。（これは正しいですか？） これは、まだ不明なエンドポイントが、UDPパケットが通過するのと同じポートへのサーバーとのUDP通信を開始した場合にも意味しますか？NATがこれを防ぐ理由はありますか？NATは、これらの着信パケットをブロック/許可することも考慮しますか？

8 nat  udp 

VPNはさまざまな方法でさまざまな方法で使用される可能性があることを知っているので、IPv6によってVPNの必要性が完全になくなることはお勧めしません。ある特定のユースケースに興味があります。 私はセルラー（GSM）ルーターを使用しており、従来、ローカルネットワークオペレーターの標準のSIMで動的IPv4アドレスを取得できます。インターネットからルーターにアクセスできるようにするために、今日はVPNを使用しています。これは2つのことを行います。 それは私のルーターに静的IPv4アドレスを与えます。オペレーターによって割り当てられた動的IPv4アドレスが変更された場合、またはオペレーターを変更した場合、これは変更されません。 これにより、オペレーターのNATファイアウォールを通過できます。ルーターがサーバーとして機能している場合は、ルーターへの接続を開始できます。 私はまだIPv6について学習していますが、ネットワークオペレーターがIPv6（たとえば、米国ではVerizon Wireless）をサポートしている場合は、VPNはもう必要ないようです。 3GPPセルラーオペレーターはSLAACを使用しており、グローバルユニキャストアドレスを取得しています。これは、定義により、グローバルにルーティング可能です。NATはありません。 オペレーターが割り当てる/ 64プレフィックスと、使用するインターフェイスID（EUI-64またはRFC 7217）がわかっているため、静的IPv6アドレスを持っています。 これは正しいです？それとも何か不足していますか？ もちろん、VPNは認証と暗号化を追加するため、VPNが追加のセキュリティを提供することを認識しています。ただし、この説明では、セキュリティのために、アプリケーションレイヤーでIPv6ファイアウォール、IPsec、またはTLSを使用すると想定します。 IPv6でVPNを引き続き使用できることはわかっています。これにより、古いプライベートIPv4アドレスと同じように、一意のローカルIPv6アドレスを使用できます。しかし、なぜ私はする必要があるのでしょうか？

8 ipv4  vpn  nat  ipv6  mobile 

NATの背後にあるノードにアクセスできる必要があるP2Pアプリケーションを構築しています。このNATはインバウンド接続を許可しないため、ネットワーク外部のノードは、NATの背後にあるノードに到達できません。 この問題に対する私の解決策は、NATの背後にあるノードが外部のノードに到達し、外部のノードが時間の準備ができたら、事前に確立されたTCP接続を使用して、NATの内部にあるノードに接続することです。この接続はNAT内のノードによって確立されるため、NATによってブロックされることはありません。 これが私の質問です。下線が引かれた解釈のうちどれが正しいのか、または両方が間違っているのかはわかりません。 解釈＃1 そこで効果的にTCP接続、チューブの概念は、およびNATの内側のノードが外の世界に何かを要求する際に、そのチューブが開き、応答がそれに入れられ、そしてチューブは永遠に閉じます。 結果：そのチューブが閉じた後、NATは外部ノードからクライアントへのそれ以上のTCP接続を許可しません。 解釈＃2 TCP接続などはありませんが、TCP送信です。TCP接続はlocal ip:port、およびとして定義されているため、remote ip:portNATの背後のノードが外部のノードを呼び出した後、外部のノードは、クライアントが要求を行ったのと同じポートを使用してコールバックでき、同じTCPとして「カウント」されます。接続によるもので、NATによる一方的な呼び出しではありません。 結果： NATは、この接続が、NAT内のノードが履歴レコードを調べることによって要求したものに対する応答であったかどうかを効果的に推測します。NATの背後にあるノードが最初のコールアウトを行ったので、外部のノードは同じクライアントポートを使用してコールバックでき、機能します。 私のメンタルモデルは＃1に近かったのですが、Wiresharkで接続を調べたところ、それらは個別のTCP接続として、または少なくとも個別のエンティティとして表示されました。 ＃1、または＃2に近いですか、それとも混乱してしまいますか？

7 tcp  nat  layer4 

ネットワーキングラボを実行しようとしています。基本的に、私はこのようなネットワークを持っています： したがって、PC1とPC2がリモートHOSTと相互にアクセスできるように、NATルーターを構成することは可能です。私にとっての問題は、PC1とPC2が同じローカルIPアドレスを持っていることです。

7 cisco  routing  ip  ipv4  nat