问个关于PAT的问题
本帖最后由 magic_os 于 2011-2-15 14:19 编辑网络拓扑如下:(Cisco Packet Tracer环境)
IP配置如图..我在R1上启用了NAT 其中fa0/1为对外端口,fa0/0为对内端口
Nat配置部分如下:
!
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
另外在R1上没有做其他的配置了
这个时候 我用PC0能够直接ping通内网PC1(192.168.1.2)和PC2 (192.168.1.3)这两个IP
这一点正常么?是不是我的模拟器的问题(PT)?
不是说PAT是通过端口转换..那就应该不能直接ping内网的IP才对额?我的理解应该是ping不通才正常--
还希望同学们老师们看官们赐教....谢谢谢谢!
-------------------------------------------------------------
对于这个问题同样的拓扑结构 我放到Dynamips虚拟环境中测试了一下
结果发现 刚搭建配置好后, PC0无法直接ping通PC1PC2的IP ,但是当PC1 PC2去ping了PC0之后
PC0就能够ping直接通PC1 PC2的内网IP了
不过这里又出现一个很郁闷的问题
我将这个环境放在这里去上了个厕所的时间回来后--
结果PC0就只能ping通192.168.1.2了(TLL显示确实结果了一台路由),
这个时候PC0却始终 ping不通192.168.1.1和192.168.1.3
内网的PC1 PC2还是能正常ping PC0 的
这个...莫非是Dynamips的bug?
同求解。。。 PC0和PC1通信,首先是去往不同网段的,他会去找网关,R1作为PC0的网关帮助PC0转发数据。对于R1来说192.168.1.0这个网段在路由表中和他是直连的,就能转发到PC1。回来的数据传输以及和PC2的通信同理。 本帖最后由 magic_os 于 2011-2-15 13:29 编辑
回复 3 # linda.! 的帖子
首先~非常感谢linda老师的回答~!
那这么说起来 这个环境下NAT只是简单的将192.168.1.0/24这个网段的地址换成了R1的出口IP ,并没有起到保护内网的作用了?
也就是说,如果在R1上再接上一个路由R2,只要这R2有去往R1的默认路由条目,那么在R2上接上的电脑都能直接用PC1PC2的内网地址访问到内网中的PC1和PC2了?
那么,--请允许我还补充一个问题..
像现在这些电信网通的那个环境,还用上面那个拓扑说
比如我的电脑是PC1被分配到一个内网IP(192.168.1.2),这个时候只要别人将电脑直接接到那个R1上就可以直接用(192.168.1.2)访问到我的计算机了?有什么办法在R1上设置阻止外面直接到192.168.1.0/24的访问而不影响内网访问外网?
我4楼第2个补充的问题 后来自己想想..就在R1上做了个自反ACL,放在了R1 fa0/1接口的外出和进入上面...貌似能起到那样的效果,只是不知道这样对不对?会不会影响到路由性能?
!
ip access-list extended in-acl
evaluate out-ip
ip access-list extended out-acl
permit ip any any reflect out-ip 回复 4 # magic_os 的帖子
1、要保护内网,出口路由器是你企业本身的,你能允许其他的主机直接接入吗?肯定是不行,所以没有保护不保护的问题。
2、R1和R2上都有路由存在,他们直接通过路由就可以直接访问,
3、这边就存在是否允许别人电脑直接接入的问题,如果都直接接入了,那你的网络业没有安全可言了。
要阻止流量可以采用ACL。
本帖最后由 magic_os 于 2011-2-16 19:06 编辑
回复 6 # linda.! 的帖子
明白了 ~ -woniu3-linda版主的回答从来都是好有条理啊~谢谢你~!
我原来理解成NAT可以有ACL一样的作用...
--也就是理解成设置了ip nat inside的端口外部都不能直接访问到..
楼主辛苦了,谢谢楼主分享!
我想我是一天也不能离开雏鹰部落,不能离开BOOTCAMP。
回复 8 # roy 的帖子
呵呵不客气啦~这还的谢谢linda姐的热心帮助~!
页:
[1]