Sobre o local interno e externo local e interno global e externo global

8

Eu tenho algum problema de conceito com o NAT. Aqui está a definição da Cisco para as operações local e Global e NAT.

Endereço local - um endereço local é qualquer endereço que aparece na parte interna da rede.

Endereço global - Um endereço global é qualquer endereço que aparece na parte externa da rede.

Pacotes originados na parte interna da rede têm um endereço local interno como endereço de origem e um endereço local externo como endereço de destino do pacote, enquanto o pacote reside na parte interna da rede. Quando esse mesmo pacote é alternado para a rede externa, a origem do pacote agora é conhecida como endereço global interno e o destino do pacote é conhecido como endereço global externo.

Por outro lado, quando um pacote é originado na parte externa da rede, enquanto está na rede externa, seu endereço de origem é conhecido como endereço global externo. O destino do pacote é conhecido como o endereço global interno. Quando o mesmo pacote é alternado para a rede interna, o endereço de origem é conhecido como endereço local externo e o destino do pacote é conhecido como endereço local interno.

Ref :: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094837.shtml#defining

Minha pergunta é o termo "local" significa o tráfego no lado da LAN da rede e o termo "global" significa o tráfego no lado da WAN da rede?

e quando eu usar o comando " ip nat inside destination ", configurarei uma tradução entre um endereço interno local e um endereço interno global e, para o comando " ip nat outside source ", configurarei uma tradução entre um local endereço externo e endereço global global, isso está correto?

Por último, por que não precisamos configurar o NAT entre o local externo e o global interno? ou o NAT entre o global externo e o local interno?

Samuel
fonte
@ Daniel Dib: seu post é muito claro e útil, mas não sei por que você declara que as 2 regras estáticas 'ip nat' devem ser diferentes. Tanto quanto eu sei, os dois comandos são bidirecionais. O NAT do Cisco IOS suporta "tradução bidirecional" através do uso simultâneo de traduções "de origem interna" e "de origem externa". de http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_white_paper09186a0080091cb9.html

Respostas:

11

Normalmente, o NAT será usado para converter entre endereços IP privados e públicos, mas esse não é o único caso de uso. Você também pode traduzir entre os endereços que desejar, como privado em particular.

Os termos local e global geralmente se referem ao interior e ao exterior da sua rede, mas isso não significa que DEVE ser LAN e WAN, embora geralmente seja.

Então diga que temos um servidor web em nossa LAN com o IP 10.0.0.1. Queremos que o servidor da Web seja acessível a partir de um IP público de 130.130.130.130.

ip nat inside source static 10.0.0.1 130.130.130.130

O que isso faz é converter todos os pacotes de 10.0.0.1 (IP de origem) para uma fonte de 130.130.130.130 ao sair na interface externa. Este comando é bidirecional, portanto, todos os pacotes que entram na interface externa com um IP de destino 130.130.130.130 também serão traduzidos para 10.0.0.1.

O comando ip nat inside destination traduz de dentro do global para um ou vários locais dentro. Isso é usado principalmente para fazer o compartilhamento de carga primitivo.

ip nat inside destination list 1 pool real-hosts
ip nat pool real-hosts 10.0.0.1 10.0.0.3 prefix-length 24 type rotary
access-list 1 permit 130.130.130.130

O que isso faz é converter de 130.130.130.130 para 10.0.0.1, 10.0.0.2 e 10.0.0.3 de maneira rotativa. Portanto, para cada solicitação de entrada no IP global interno de 130.130.130.130, ela será traduzida para um endereço local interno diferente, de maneira alternada.

A estática de origem externa IP nat converte entre IP global externo e local local. Um caso de uso comum seria se você tiver sub-redes sobrepostas. Como se você estivesse fazendo uma fusão e as duas empresas usassem as mesmas sub-redes IP. Digamos que a empresa A e a empresa B estejam usando 10.0.0.0/24 para alguma coisa. Então você está trabalhando para a empresa A e deseja converter todos os 10.0.0.0/24 do lado de fora para 192.168.0.0/24.

ip nat outside source static network 10.0.0.0 192.168.0.0 /24

Então você teria que fazer o mesmo para o tráfego que vai de dentro para fora, é claro.

Em relação à sua última pergunta, realmente faz sentido traduzir a origem ou o destino do pacote. O que você está sugerindo parece algum tipo de roteamento de política. Você pode usar o NAT interno e externo para fazer tudo o que precisa.

Daniel Dib
fonte