المقدمة
يصف هذا وثيقة السلوك غير متوقع من شبكة ترجمة عنوان (NAT) حركي مع حركة مرور لا يمكن تجريبها على أجهزة IOS®.
المشكلة
حركة مرور غير قابلة للتقييد تخلق نصف مدخل في جدول ترجمات nat في حالة NAT الديناميكي. تشكل هذه الإدخالات مخاطر أمنية لأنها تعمل لحركة المرور من الخارج إلى الداخل.
تشكيل nat:
ip nat pool ATT_FIBER 10.10.10.1 10.10.10.6 netmask 255.255.255.248
ip nat inside source list GUEST_SUBNET pool ATT_FIBER overload
ip nat inside source list OFFICE_SUBNETS pool ATT_FIBER overload
ip access-list extended OFFICE_SUBNETS
deny ip 172.16.26.0 0.0.0.127 any
permit ip 172.16.8.0 0.0.1.255 any
ip access-list extended GUEST_SUBNET
permit ip 172.16.26.0 0.0.0.127 any
udp 10.10.10.1:49370 172.16.9.9:49370 192.168.1.1:53 192.168.1.1:53
udp 10.10.10.1:49535 172.16.9.9:49535 192.168.2.2:53 192.168.2.2:53
tcp 10.10.10.1:53133 172.16.9.9:53133 192.168.3.3:80 192.168.3.3:80
tcp 10.10.10.1:56311 172.16.9.9:56311 192.168.4.4:5816 192.168.4.4:5816
--- 10.10.10.1 172.16.9.9 --- ---
يتم إنشاء نصف الإدخالات في حالات معينة حيث يوجد تخطيط للداخل -> خارج أو عندما يتم بدء الحزمة من الداخل -> خارج.
عندما يشكل المسحاج تخديد ل NAT حمل زائد (ترجمة عنوان أيسر (ضرب)) وحركة مرور غير قابلة للانقطاع تضرب المسحاج تخديد، لا يمكن ربط مدخل خلقت ل هذا حركة مرور. يؤدي إلى هذا النوع من المدخل في طاولة nat:
--- 10.10.10.1 172.16.9.9 --- ---
يستهلك إدخال الربط هذا عنوان كامل من التجمع. في هذا المثال، 10.10.10.1 هو عنوان من تجمع محمل بشكل زائد.
هذا يعني عنوان داخلي محلي يتم ربطه إلى الخارج شامل أي يكون مماثل إلى NAT ساكن إستاتيكي. بسبب هذا، وإلى أن تنتهي مهلة الإدخال الحالي، لا يمكن لعناوين IP المحلية الجديدة إستخدام عنوان IP العمومي هذا. جميع الترجمة التي تم إنشاؤها لهذا الربط هي ترجمات من 1 إلى 1 بدلا من التحميل الزائد.
الحل
in order to حللت هذا إصدار، أنت يستطيع استعملت ممر خريطة مع حركي nat. باستخدام خرائط المسار، لا يقوم NAT بإنشاء نصف إدخالات أو إستخدام التحميل الزائد للواجهة بدلا من التحميل الزائد للتجمع. لا يتم إنشاء روابط غير قابلة للتجميع في حالة زيادة حمل الواجهة.
التعليقات