À propos de l'intérieur local et extérieur local et intérieur global et extérieur global

8

J'ai un problème de concept avec le NAT. Voici la définition de Cisco pour l'opération locale et globale et l'opération NAT.

Adresse locale: une adresse locale est une adresse qui apparaît sur la partie intérieure du réseau.

Adresse globale: une adresse globale est une adresse qui apparaît sur la partie extérieure du réseau.

Les paquets provenant de la partie intérieure du réseau ont une adresse locale intérieure comme adresse source et une adresse locale extérieure comme adresse de destination du paquet, tandis que le paquet réside sur la partie intérieure du réseau. Lorsque ce même paquet est commuté vers le réseau extérieur, la source du paquet est désormais connue comme l'adresse globale intérieure et la destination du paquet est connue comme l'adresse globale extérieure.

Inversement, lorsqu'un paquet provient de la partie extérieure du réseau, alors qu'il se trouve sur le réseau extérieur, son adresse source est connue comme l'adresse globale extérieure. La destination du paquet est connue comme l'adresse globale interne. Lorsque le même paquet est commuté vers le réseau intérieur, l'adresse source est connue comme l'adresse locale extérieure et la destination du paquet est connue comme l'adresse locale intérieure.

Réf :: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094837.shtml#defining

Ma question est le terme «local» signifie le trafic du côté LAN du réseau et le terme «global» signifie le trafic du côté WAN du réseau?

et lorsque j'utilise la commande " ip nat inside destination ", je vais mettre en place une traduction entre une adresse interne locale et une adresse globale globale, et pour la commande " ip nat outside source ", je vais mettre en place une traduction entre un local local adresse extérieure et une adresse extérieure globale, est-ce exact?

Dernier point, pourquoi nous n'avons pas besoin de configurer le NAT entre le local extérieur et le global intérieur? ou le NAT entre l'extérieur global et l'intérieur local?

Samuel
la source
@Daniel Dib: votre message est très clair et utile mais je ne sais pas pourquoi vous dites que les 2 règles statiques 'ip nat' devraient différer. Pour autant que je sache, les deux commandes sont bidirectionnelles. > Le Cisco IOS NAT prend en charge la "traduction bidirectionnelle" grâce à l'utilisation simultanée des traductions "source interne" et "source externe". depuis http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_white_paper09186a0080091cb9.html

Réponses:

11

Habituellement, NAT sera utilisé pour traduire une adresse IP privée en adresse IP publique, mais ce n'est pas le seul cas d'utilisation. Vous pouvez également traduire entre toutes les adresses que vous souhaitez, telles que privées à privées.

Les termes local et global se réfèrent le plus souvent à l'intérieur et à l'extérieur de votre réseau, mais cela ne signifie pas qu'il DOIT être LAN et WAN bien que ce soit souvent le cas.

Disons que nous avons un serveur Web sur notre LAN avec l'IP 10.0.0.1. Nous voulons que le serveur Web soit accessible à partir d'une adresse IP publique de 130.130.130.130.

ip nat inside source static 10.0.0.1 130.130.130.130

Ce que cela fait, c'est de traduire tous les paquets de 10.0.0.1 (IP source) en une source de 130.130.130.130 lors de la sortie sur l'interface extérieure. Cette commande est bidirectionnelle, donc tous les paquets entrant dans l'interface extérieure avec une IP de destination de 130.130.130.130 seront également traduits en 10.0.0.1.

La commande ip nat inside destination se traduit de l'intérieur global à un ou plusieurs intérieurs locaux. Ceci est principalement utilisé pour effectuer un partage de charge primitif.

ip nat inside destination list 1 pool real-hosts
ip nat pool real-hosts 10.0.0.1 10.0.0.3 prefix-length 24 type rotary
access-list 1 permit 130.130.130.130

Cela se traduit par une conversion de 130.130.130.130 à 10.0.0.1, 10.0.0.2 et 10.0.0.3 de manière rotative. Ainsi, pour chaque demande entrante adressée à l'IP globale interne de 130.130.130.130, elle sera traduite vers une adresse locale interne différente de manière circulaire.

IP nat en dehors de la source statique se traduit entre l'extérieur global et l'extérieur local IP. Un cas d'utilisation courant serait si vous avez des sous-réseaux qui se chevauchent. Comme si vous effectuez une fusion et que les deux sociétés utilisent les mêmes sous-réseaux IP. Supposons donc que la société A et la société B utilisent 10.0.0.0/24 pour quelque chose. Vous travaillez donc pour la société A et vous souhaitez traduire tous les 10.0.0.0/24 à l'extérieur en 192.168.0.0/24.

ip nat outside source static network 10.0.0.0 192.168.0.0 /24

Il faudrait alors faire de même pour le trafic allant de l'intérieur vers l'extérieur bien sûr.

Concernant votre dernière question, cela n'a vraiment de sens que de traduire la source ou la destination du paquet. Ce que vous proposez ressemble à une sorte de routage de stratégie. Vous pouvez utiliser le NAT intérieur et extérieur pour faire tout ce dont vous avez besoin.

Daniel Dib
la source