问个关于PAT的问题

magic_os

网络拓扑如下:（Cisco Packet Tracer环境）


IP配置如图..我在R1上启用了NAT 其中fa0/1为对外端口，fa0/0为对内端口

Nat配置部分如下：

!
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
另外在R1上没有做其他的配置了

这个时候 我用PC0能够直接ping通内网PC1（192.168.1.2）和PC2 （192.168.1.3）这两个IP
这一点正常么？是不是我的模拟器的问题（PT）？

不是说PAT是通过端口转换..那就应该不能直接ping内网的IP才对额？我的理解应该是ping不通才正常-  -
还希望同学们老师们看官们赐教....谢谢谢谢！

-------------------------------------------------------------

对于这个问题同样的拓扑结构 我放到Dynamips虚拟环境中测试了一下

结果发现 刚搭建配置好后， PC0无法直接ping通PC1PC2的IP ，但是当PC1 PC2去ping了PC0之后
PC0就能够ping直接通PC1 PC2的内网IP了

不过这里又出现一个很郁闷的问题

我将这个环境放在这里去上了个厕所的时间回来后-  -
结果PC0就只能ping通192.168.1.2了（TLL显示确实结果了一台路由），
这个时候PC0却始终 ping不通192.168.1.1和192.168.1.3
内网的PC1 PC2还是能正常ping PC0 的

这个...莫非是Dynamips的bug?

喵喵

同求解。。。

linda.!

PC0和PC1通信，首先是去往不同网段的，他会去找网关，R1作为PC0的网关帮助PC0转发数据。对于R1来说192.168.1.0这个网段在路由表中和他是直连的，就能转发到PC1。回来的数据传输以及和PC2的通信同理。

magic_os

回复 3 # linda.! 的帖子

首先~非常感谢linda老师的回答~！

那这么说起来 这个环境下NAT只是简单的将192.168.1.0/24这个网段的地址换成了R1的出口IP ，并没有起到保护内网的作用了？

也就是说，如果在R1上再接上一个路由R2，只要这R2有去往R1的默认路由条目，那么在R2上接上的电脑都能直接用PC1PC2的内网地址访问到内网中的PC1和PC2了？

那么，请允许我还补充一个问题..

像现在这些电信网通的那个环境，还用上面那个拓扑说

比如我的电脑是PC1被分配到一个内网IP（192.168.1.2），这个时候只要别人将电脑直接接到那个R1上就可以直接用（192.168.1.2）访问到我的计算机了？有什么办法在R1上设置阻止外面直接到192.168.1.0/24的访问而不影响内网访问外网？

magic_os

我4楼第2个补充的问题 后来自己想想..就在R1上做了个自反ACL，放在了R1 fa0/1接口的外出和进入上面...貌似能起到那样的效果，只是不知道这样对不对?会不会影响到路由性能？
!
ip access-list extended in-acl
evaluate out-ip
ip access-list extended out-acl
permit ip any any reflect out-ip

linda.!

回复 4 # magic_os 的帖子

1、要保护内网，出口路由器是你企业本身的，你能允许其他的主机直接接入吗？肯定是不行，所以没有保护不保护的问题。
2、R1和R2上都有路由存在，他们直接通过路由就可以直接访问，
3、这边就存在是否允许别人电脑直接接入的问题，如果都直接接入了，那你的网络业没有安全可言了。
     要阻止流量可以采用ACL。

magic_os

回复 6 # linda.! 的帖子

明白了 ~ linda版主的回答从来都是好有条理啊~谢谢你~！

我原来理解成NAT可以有ACL一样的作用...
-  -也就是理解成设置了ip nat inside的端口外部都不能直接访问到..

roy

楼主辛苦了，谢谢楼主分享！
我想我是一天也不能离开雏鹰部落，不能离开BOOTCAMP。

magic_os

回复 8 # roy 的帖子

呵呵不客气啦~这还的谢谢linda姐的热心帮助~！