सिस्को राउटर NAT कॉन्फ़िगरेशन में इन तीन विकल्पों का क्या मतलब है?

एक मानक स्थैतिक पैट विन्यास में, जहां एक आईपी: पोर्ट संयोजन हमेशा दूसरे आईपी के लिए मैप किया जाता है: पोर्ट संयोजन, अंदर / बाहर / स्रोत / गंतव्य के तीन संभावित संयोजन होते हैं जिन्हें कॉन्फ़िगर किया जा सकता है।

उदाहरण के लिए, यह एक विन्यास उदाहरण है:

ip nat inside source static tcp 10.0.20.13 8080 2.2.2.33 80
       ^^^^^^^^^^^^^

आम आदमी की शर्तों में, यह कॉन्फ़िगरेशन किसी भी बाहरी होस्ट को पोर्ट 80 पर आईपी 2.2.2.33 पर एक टीसीपी कनेक्शन शुरू करने की अनुमति देता है। जब यह पैकेट राउटर से टकराता है, तो गंतव्य आईपी एड्रेस और पोर्ट ( 2.2.2.33:80) का अनुवाद हो जाता है 10.0.20.13:8080।

रिवर्स भी होता है, अगर अंदर का होस्ट 10.0.20.13 8080 के स्रोत पोर्ट के साथ एक टीसीपी पैकेट भेजता है, क्योंकि यह पैकेट राउटर को पार करता है, स्रोत आईपी और पोर्ट ( 10.0.20.13:8080) का अनुवाद हो जाता है 2.2.2.33:80। (यह आम तौर पर इनसाइड होस्ट से शुरू किए गए एक के बजाय एक प्रतिक्रिया पैकेट होगा )

ऊपर दिए गए भाग के लिए सभी तीन विन्यास विकल्प इस प्रकार हैं:

Router(config)#ip nat inside ?
  destination  Destination address translation
  source       Source address translation

Router(config)#ip nat outside ?
  source  Source address translation

वास्तव में, आप कॉन्फ़िगर कर सकते हैं:

• स्रोत स्थैतिक टीसीपी {आईपी} {पोर्ट} {आईपी} {पोर्ट} के अंदर आईपी ​​नेट
• स्थैतिक टीसीपी {आईपी} {पोर्ट} {आईपी} {पोर्ट} के अंदर आईपी ​​नेट
• IP नट स्रोत के बाहर स्थिर tcp {IP} {पोर्ट} {IP} {पोर्ट}

ये विकल्प अलग कैसे हैं और तीन विकल्पों में से प्रत्येक का उपयोग कब होगा? कृपया आम आदमी की शर्तों का उपयोग करें जैसे मैंने ऊपर वर्णित किया कि प्रत्येक उपकरण के माध्यम से आने वाले पैकेटों को कैसे हेरफेर करेगा।

इसके अलावा, क्या कोई मुझे बता सकता है कि कोई बाहरी गंतव्य विकल्प क्यों नहीं है ?

इस बारे में बहुत ध्यान से सोचें।

इनसाइड सोर्स का मतलब है कि आप अपने नेटवर्क के अंदर होने वाले ट्रैफिक से सोर्स एड्रेस को ट्रांसलेट करना चाहते हैं। यह विशिष्ट "होम नेटवर्किंग" व्यवस्था है जो आपको सार्वजनिक इंटरनेट पर निजी पते का उपयोग करने की अनुमति देती है। बेशक, यह इस संस्करण के लिए एकमात्र उपयोग नहीं है।

इनसाइड डेस्टिनेशन का मतलब है कि आप बाहर के एड्रेस से किसी खास डेस्टिनेशन प्रोटोकॉल और पोर्ट से किसी खास इंसाइड एड्रेस पर जाने के लिए ट्रैफिक शुरू करना चाहते हैं। यह वह है जो घर के उपयोगकर्ता सार्वजनिक इंटरनेट से एक्सेस किए जाने वाले निजी पते के साथ वेब सर्वर की तरह कुछ करने की अनुमति देते हैं। बेशक, यह इस संस्करण के लिए एकमात्र उपयोग नहीं है।

बाहर का स्रोत बाहर से आने वाले ट्रैफ़िक का अनुवाद करने के लिए ऐसा लगता है जैसे कि यह एक अंदर के पते से उत्पन्न हुआ हो। यह उन मामलों में उपयोगी हो सकता है जहां आईपी पते की ओवरलैपिंग वाली कंपनियां मर्ज होती हैं और उन्हें नेटवर्क कनेक्ट करना शुरू करना पड़ता है। आप बाहर से आने वाले ट्रैफ़िक के स्रोत पते का अनुवाद कर सकते हैं, जिसमें आमतौर पर बाहर के स्रोत पते होते हैं, जो अंदर के पते के साथ संघर्ष करते हैं, स्रोत के पते के पते के अंदर उपलब्ध सीमा में।

पोर्ट फ़ॉरवर्डिंग का उलटा होने से बाहरी गंतव्य वास्तव में बहुत मायने नहीं रखता है। यह अंदर से होने वाले किसी भी ट्रैफ़िक को सीमित करेगा, जो एक विशेष बाहरी परिवहन प्रोटोकॉल और पोर्ट के लिए, एक एकल बाहरी पते पर होता है।

हमें बुनियादी बातों से शुरू करना चाहिए, इसलिए चलो NAT शब्दावली को संशोधित करें। NAT, IP पैकेट में IP पते का अनुवाद करता है, है ना? इसका क्या मतलब है? यह, मूल रूप से, मिराज बनाता है - हाँ, ऑप्टिकल भ्रम, आप जानते हैं। उदाहरण के लिए, एक विशिष्ट NAT कॉन्फ़िगरेशन में, जब निजी-संबोधित LAN बाहरी राउटर इंटरफ़ेस के सार्वजनिक आईपी पते का उपयोग करके इंटरनेट का उपयोग करता है, तो वे होस्ट इंटरनेट सर्वर के लिए इस सार्वजनिक आईपी (या सार्वजनिक आईपी के पूल से आईपी) के रूप में दिखाई देते हैं। NAT, निश्चित रूप से नए भौतिक होस्ट नहीं बनाता है - लेकिन यह नए प्रकार की नई वर्चुअल इकाइयाँ बनाता है - इस उदाहरण में, LAN होस्ट खुद को देखते हैं, चलो 192.168.1.x कहते हैं, लेकिन इंटरनेट सर्वर उन्हें 203.0.113.x के रूप में देखते हैं - भौतिक मेजबान का एक सेट लेकिन आईपी पते के दो सेट। (तार्किक) मेजबान के दो अलग-अलग सेट। दृष्टि संबंधी भ्रम। और शब्दावली यह है:

• आंतरिक के अंदर - "वास्तविक" आंतरिक पते के आईपी पते को उनके इंटरफेस को सौंपा गया है और जैसा कि वे एक दूसरे को देखते हैं
• वैश्विक अंदर - "मिरज" आईपी पते जैसा कि बाहरी दुनिया द्वारा देखा गया है
• बाहरी वैश्विक के "असली" आईपी पते, जैसा कि वे खुद और (लगभग) पूरे इंटरनेट द्वारा देखा जाता है
• बाहरी स्थानीय - "मृगतृष्णा" आईपी पतों के रूप में हम बाहरी मेजबानों को देखते हैं (यदि हमने NAT को इसके अनुरूप अनुवाद करने के लिए कहा है)

और जैसा कि आप देख सकते हैं, हम अपने नेटवर्क और इंटरनेट या किसी अन्य बाहरी नेटवर्क के बीच अंतर करने के लिए बाध्य हैं। हम अपने राउटर के आईपी इंटरफेस को आईपी ​​नट के अंदर या आईपी ​​नेट के बाहर चिह्नित करके ऐसा करते हैं , सहमत हैं?

अब यह याद रखें कि NAT को आम तौर पर कैसे लागू किया जाता है: यह विशेष तालिकाओं को बनाए रखता है जिसमें अनुवाद के बारे में प्रविष्टियाँ होती हैं। और महत्वपूर्ण बिंदु यह है कि इन प्रविष्टियों को सांख्यिकीय या गतिशील रूप से बनाया जा सकता है । गतिशील रूप से बनाई गई प्रविष्टियों के लिए, यातायात की दिशा महत्वपूर्ण है - क्या यातायात अंदर से बाहर या इसके विपरीत शुरू किया गया है? स्थिर प्रविष्टियों के लिए, यह ऐसा नहीं है - वे सममित हैं । NAT कॉन्फ़िगरेशन स्टेटमेंट जिसमें स्थैतिक कीवर्ड होते हैं, उन्हें रनिंग कॉन्फ़िगरेशन में डालने के तुरंत बाद स्थिर प्रविष्टियाँ बनाते हैं; साथ उन लोगों के गतिशील अनुवाद प्रविष्टियों, जो तब अंततः समय समाप्त हो जाएगा बनाने के दिलचस्प यातायात के लिए घड़ी कीवर्ड और गतिशील।

हम पहले से ही आपके अंतिम प्रश्न के बारे में अनुमान लगा सकते हैं: कोई बाहरी गंतव्य विकल्प क्यों नहीं है ? स्रोत स्थैतिक के अंदर ip nat स्थैतिक NAT प्रविष्टि बनाता है जो आपके बताए अनुसार अनुवाद करता है, लेकिन इसमें न केवल एक विशेष पक्ष से शुरू किया गया ट्रैफ़िक शामिल है - स्थिर NAT प्रविष्टियाँ सममित हैं। तो, नेट के बाहर गंतव्य स्थैतिक आईपी के अनुवाद के लिए एक स्थिर प्रविष्टि बनाने होगा गंतव्य से अपने नेटवर्क में प्रवेश करने के लिए यातायात के आईपी पते के बाहर और स्रोत यातायात से जाने के लिए आई पी पतों के अंदर - लेकिन इस वास्तव में क्या है नेट के अंदर स्रोत स्थैतिक IPकमांड करता है! तो, यह केवल इस आदेश के लिए बेमानी है। अंतर केवल इतना है कि आप मूल रूप से समान कमांड के एक या दूसरे रूप का उपयोग करते समय स्रोत को गंतव्य आईपी के साथ बदल देंगे।

आपके पहले कथन के संबंध में, "अंदर / बाहर / स्रोत / गंतव्य के तीन संभावित संयोजन हैं जिन्हें कॉन्फ़िगर किया जा सकता है" - यह काफी नहीं है। मुद्दा यह है कि, आम तौर पर बोलते हुए, NAT कॉन्फ़िगरेशन स्टेटमेंट "गणित के फॉर्मूले" नहीं होते हैं और इसे पूरी तरह से माना जाना चाहिए, और न कि तार्किक खोजशब्दों से तार्किक रूप से निर्मित। तो, प्रत्येक "संयोजन" एक विशेष कार्य के लिए एक समाधान प्रस्तुत करता है, उदाहरण के लिए, गंतव्य टीसीपी के अंदर आईपी एनएटी का उपयोग सर्वर टीसीपी लोड संतुलन को कॉन्फ़िगर करने के लिए किया जाता है जो विशिष्ट एल्गोरिथ्म का उपयोग करता है और यूडीपी के साथ काम नहीं करता है। इसके अलावा, (आधुनिक आईओएस में) गंतव्य स्थैतिक कमांड के अंदर कोई आईपी ​​नेट नहीं है - क्या आपने वास्तव में इसे स्थिर विकल्प के साथ आज़माया है ?

आप इस सिस्को पेपर में कॉन्फ़िगरेशन उदाहरण सहित NAT का उपयोग करने के कुछ विशेष परिदृश्य देख सकते हैं: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/12-2sx /nat-12-2sx-book/iadnat-addr-consv.html

अंत में, मैं यह उल्लेख करना चाहूंगा कि कभी-कभी NAT आप क्या चाहते हैं, उदाहरण के लिए, इस "विहित प्रश्न" के लिए मेरे उत्तर को देखें : /server/55611/loopback-to-forwarded-sublic- आईपी-पता-से-स्थानीय नेटवर्क बाल के लिये कांटा-नेट / 733,532 # 733,532

PS क्या मुझे और अधिक विवरण में जाना चाहिए?