内网终端访问通过外网地址访问内网服务器,如下图:
终端2想要访问服务器1,RT1的G0/0接口做了nat hairpin,G0/1接口做了nat outbound以及nat server,简单接口配置如下:
<RT1>dis cu inter g0/0
# interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 20.1.1.2 255.255.255.0
nat hairpin enable
# return
<RT1>dis cu inter g0/1
# interface GigabitEthernet0/1
port link-mode route
combo enable copper
ip address 30.1.1.1 255.255.255.0
nat outbound
nat server protocol icmp global 30.1.1.2 inside 10.1.1.1
#
return
debug查看nat会话如下:
可以看到10.1.1.2的源地址先转换成了出接口地址,然后神奇的回到了入接口上匹配了nat server转换了目的地址,这一过程在交换机上是怎么做到的?nat hairpin的原理究竟是什么,官方的描述比较少,没有弄懂,是单纯的将其余接口上的nat配置复制到配置hairpin的接口上吗,还是有其他的动作?以及nat hairpin的两种模式怎么区分,C/S以及P2P(官网描述有一些简单)?
(1)
最佳答案
· C/S方式:NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。
· P2P方式:内网各主机首先向外网服务器注册自己的内网地址信息,该地址信息为外网侧出方向地址转换的NAT地址,然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。该方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并使能EIM模式。
具体可以参考 https://www.h3c.com/cn/d_201405/829965_30005_0.htm#_Toc381197981
下面的配置示例
(0)
nat harpin主要是解决端口回流问题,它不允许数据流从内部流到外部再流回内部,可以自行百度,了解了端口回流问题就可以知道这个功能了在最后的内网口做的源和目的IP的转换了,目的地址转换成内网服务器地址,原地址转换成防火墙内连口的地址
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
那报文是又被丢到了入接口上吗?怎么丢回去的?还是指我的报文直接从出接口出去再回来命中出接口的nat serve吗?那为什么还会有入接口上的会话?(问题有点多因为太疑惑了,抱歉哈)
debug nat packet就可以看到整个过程。
上述的黑底图片就是debug nat all显示的会话,刚才也看一下packet是一样的,就是图中最上面两个会话就是我的疑问点