如何在具有不同 nat 池的 2 个私有网络之间配置 sna?

网络工程 思科 路由器 纳特 鼻涕虫
2022-02-24 05:27:50

在此处输入图像描述

嗨,我在这个网络上的当前配置有一些问题。

我有两个 nat 池,一个用于蓝色方形路由器,另一个用于黄色路由器。而且我正在使用 snat 在每个“分支”(蓝色->波士顿,黄色->里斯本)中拥有一个主路由器和备用路由器。

nat 转换工作正常,我可以从蓝色方块上的 pc ping 到黄色方块的主路由器,反之亦然,但我无法在 pc 之间 ping。

以下是我目前拥有的主要蓝色/波士顿路由器的配置:

interface FastEthernet0/0.1
 encapsulation dot1Q 2010
 ip address 10.64.64.1 255.255.240.0
 ip nat inside
 ip virtual-reassembly in

interface FastEthernet1/0
 ip address 200.1.1.128 255.255.254.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto

ip nat Stateful id 21
 primary 10.64.64.1
 peer 10.64.64.2
 mapping-id 10

ip nat pool BOSTONPOOL 200.1.1.130 200.1.1.254 netmask 255.255.254.0
ip nat inside source list 1 pool BOSTONPOOL mapping-id 10 overload
ip route 10.32.0.0 255.224.0.0 200.1.1.0
access-list 1 permit 10.64.0.0 0.31.255.255

而且我在黄色主路由器中也有相同的配置(具有不同的池等)。在辅助路由器中,我有一个类似的配置,只是将主路由器更改为备用路由器,以及对等地址。

还要注意的是,我在路由器中有到另一个专用网络的静态路由,在这种情况下,在波士顿路由器中,我有一个通过里斯本路由器地址到里斯本网络的静态网络。

2个回答

nat 转换工作正常,我可以从蓝色方块上的 pc ping 到黄色方块的主路由器,反之亦然,但我无法在 pc 之间 ping 通。

这是正确的,因为您使用的是 NAPT。如果您从内部发起流量,例如来自蓝色框中的主机,则流量通过的蓝色路由器将创建一个 NAT 表条目,以便返回流量可以返回到发起主机。黄色路由器不会有 NAT 表条目,因此来自蓝色框中主机的流量将发往黄色路由器的地址,黄色路由器的地址,而不是黄色框中的主机。为此,您需要创建一个静态 NAT 表条目,但您只能为每个传输协议和传输地址创建一个。

您在 NAPT 中遇到了一个弱点,它打破了端到端连接的 IP 前提。

我有两个 nat 池,一个用于蓝色方形路由器,另一个用于黄色路由器。

实际上,您有四个路由器,每个路由器都有不同的 NAPT 池,它们不能共享池。每个路由器实际上将有三个 NAPT 池和表;TCP、UDP 和 ICMP 各一个。蓝色主路由器上的 TCP NAPT 表和池不与蓝色辅助路由器上的 TCP NAPT 表和池共享。如果您有非对称路由,这可能会导致问题。

正如罗恩指出的那样,NAT 在这种情况下无法工作。

为了为 IPv4 提供端到端连接,需要隧道。隧道允许您通过 Internet 传递私有地址的数据包(由公共地址的数据包封装)不变。应该首选 IPsec 隧道,因为它还可以加密隧道传输的流量。

其它你可能感兴趣的问题
上一篇如何在 IPV6 上对非半字节边界进行子网划分? 下一篇为什么服务器不能在 TCP 三向握手中发送数据?