网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 7635|回复: 0

关于Cisco IOS命令ip nat inside destination的使用

[复制链接]
发表于 2007-8-29 19:59:06 | 显示全部楼层 |阅读模式
今天一口气大甩卖,发三篇,好累,看来得休息一段了。


大家平时用NAT的时候,大都用的是ip nat inside source,那天闲来无事,想研究一下destination关键字的作用,于是就有了下面这一段文章。水平有限,如有谬误,敬请指正。


参考:
NAT中术语和转换关系的理解和研究.doc


注意:
1.该命令只在外部到内部的NAT转换时候生效。当NAT设备提供了一个外部可访问到内部的公网地址(通过该公网地址可直接访问内网设备)的时候,该命令才能生效。
2.该命令只对TCP连接转换,其他的协议不转换。
3.不推荐利用这个技术做WEB的负载均衡,因为NAT无法知道内部设备的可用性,所以当一个内网设备故障的时候,NAT并不知道该设备已经DOWN,仍会继续向它转发数据,这就可能导致产生一个黑洞。


配置:

interface Serial1/0


ip address 7.7.12.2 255.255.255.0


ip nat inside

!

interface Serial1/1


ip address 7.7.23.2 255.255.255.0


ip nat outside

!

ip nat pool ItoO 7.7.23.100 7.7.23.100 prefix-length 24

ip nat pool OtoI_DEST 7.7.12.1 7.7.12.2 prefix-length 24 type rotary

ip nat inside source list 2 pool ItoO

ip nat inside destination list 1 pool OtoI_DEST

!

access-list 1 permit 7.7.23.0 0.0.0.255

access-list 2 permit 7.7.12.0 0.0.0.255


经过以上配置以后,NAT会将telnet 7.7.23.100的流量轮流转发到7.7.12.17.7.12.2。所以在外网telnet 7.7.23.100的时候,就会出现这样的现象:一次登录的是7.7.12.1,下次就是登录的是7.7.12.2,再下次又是7.7.12.1
原因是NAT会把从外(7.7.23.0/24网段)到内(7.7.12.0/24网段)的流量其中的Destination地址轮流转换为地址池OtoI_DEST中的地址(7.7.12.17.7.12.2)。实际上从外访问内部是通过访问7.7.23.100来实现的,因为7.7.23.100是对内网地址7.7.12.0/24的转换。所以在telnet的时候就会出现上面说的现象。
注意:只有TCP流量才会转换,如果只是ping 7.7.23.100是不会触发NATDestination转换的。


[ 本帖最后由 leen 于 2007-8-29 20:01 编辑 ]
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-11-19 05:52 , Processed in 0.093600 second(s), 22 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表