Назад | Перейти на главную страницу

One To One NAT, работает только в WAN?

Мы пытаемся протестировать конфигурацию One To One NAT на маршрутизаторе Cisco RV180, служба поддержки Cisco SMB сообщает, что эта настройка ниже не будет работать. (кажется, они правы) Я знаю, что это как-то связано с записями ARP.

ISP Gateway
    |
    | (public IP block)
    |
   WAN
  NAT Router
   LAN
    |
    +----Computers connecting to the internet (192.168.1.*)
    |
   WAN
  NAT Router (this one with the One To One NAT rules)
   LAN
    |
   Computers that run webservers (192.168.2.*), each needing their own (192.168.1.*) IP address on the WAN of their router.

Эта альтернатива называется макетом, который мы должны использовать, если нам нужен лабораторный тест:

   LAN
  NAT Router (for simulation purposes only)
   WAN
    |
   WAN
  NAT Router (this one with the One To One NAT rules.)
   LAN
    |
   Computers that run webservers (192.168.2.*), each needing their own IP address on the WAN of their router.

Работа такого макета не гарантируется.

Но они говорят, что следующий вариант безопасен:

  ISP Router
    |
    | (public IP block)
    |
   WAN
  NAT Router (this one with the One To One NAT rules.)
   LAN
    |
   Computers that run webservers (192.168.2.*), each needing their own (public) IP address on the WAN of their router.

Мой вопрос

Пожалуйста, объясните, какие требования предъявляются к работающей настройке One To One NAT, и как заставить записи ARP работать должным образом.

Если у вас есть дополнительная информация о том, как ARP сохраняется в ситуации One To One NAT, это будет очень полезно.

Ваша проблема следующая:

  • Компьютер 192.168.1.A пытается пропинговать 192.168.1.B. A физически находится в сети, B должен иметь отношение 1: 1 к 192.168.2.C
  • Ядро определяет, что IP-адрес 192.168.1.B должен находиться в том же сегменте Ethernet, поэтому он использует «прямую доставку» (без шлюзовых маршрутизаторов). Он отправляет ARP-запрос "У кого 192.168.1.B"?
  • поскольку на самом деле нет компьютера, который обладал бы 192.168.1.B, ответ не приходит, и запрос заканчивается как «Целевой хост недоступен».

Есть несколько возможных решений:

  • поместите IP-адрес 192.168.1.B на WAN-интерфейс NAT-маршрутизатора (который будет направлять трафик на него, и он может правильно перенаправляться / перенаправляться с помощью NAT). Это должно быть возможно на любом приличном настраиваемом маршрутизаторе (если у вас есть проблемы с Cisco, попробуйте использовать Linux в качестве маршрутизатора или проверьте другие решения (например, Mikrotik), которые обычно предлагают НАМНОГО лучшее соотношение цены и возможностей)
  • Соедините сети вместе и добавьте IP 192.168.1.B к Ethernet-интерфейсу компьютера 192.168.2.C - это просто и понятно, я бы рекомендовал это решение.
  • Если вы можете пропустить требование о том, что NAT-адрес ДОЛЖЕН быть из диапазона 192.168.1.0/24, вы также можете создать полностью виртуальное адресное пространство (скажем, 192.168.3.0/24). На основном (верхнем) маршрутизаторе разместите маршрут, который направляет весь трафик 192.168.3.0/24 на внутренний (нижний) маршрутизатор. На нижнем маршрутизаторе создайте NAT с адреса 192.168.3.B на 192.168.2.C.

надеюсь, это поможет