Cisco ASA Auto NAT – Dynamic NAT with PAT Backup

知识点强化:
    • Auto NAT 又称为 Network Object NAT
    • Auto NAT 一般应用于 Source NAT
    • Dynamic NAT / PAT 临时双向通信
      • 只能从内向外发送数据包,当连接建立后可从外向内发送数据包
      • 前提是 ACL 已允许双向通信
    • Dynamic PAT 类似于 IOS 里面的 overload
    • ACL 使用真实 IP
    • Proxy ARP 自动开启

我们在做 Dynamic NAT 的时候是把内部的 IP 地址做 Source NAT 到一个 NAT Pool,为了防止 NAT Pool 中的地址被用光我们可以结合 Dynamic PAT 将它作为一个备份。当 NAT Pool 里面的地址被用光时 ASA 就会执行 Dynamic PAT。

继续阅读“Cisco ASA Auto NAT – Dynamic NAT with PAT Backup”

Cisco ASA Auto NAT – Static PAT

知识点强化:
    • Auto NAT 又称为 Network Object NAT
    • Auto NAT 一般应用于 Source NAT
    • Static NAT 双向通信 (前提是 ACL 已允许反方向数据通过)
    • Static PAT 是在 Static NAT 的基础上做了端口转发
    • Static PAT 又称为 Port Redirect
    • Static PAT 一般应用于将从外向内的数据进行端口转发
    • ACL 使用真实 IP
    • Proxy ARP 自动开启

Static PAT 和我们普通家用无线路由器里面的端口转发选项类似,它会将发向内部的数据包的目标端口号进行转发,如将目标端口号 TCP 80 转变成 TCP 8080 再发送给内部网络。

继续阅读“Cisco ASA Auto NAT – Static PAT”

Cisco ASA Auto NAT – Static NAT (Bidirectional NAT)

知识点强化:
    • Auto NAT 又称为 Network Object NAT
    • Auto NAT 一般应用于 Source NAT
    • Static NAT 双向通信 (前提是 ACL 已允许反方向数据通过)
    • ACL 使用真实 IP
    • Proxy ARP 自动开启

上一篇文章当中我们利用反向的 Source NAT 实现了 Destination NAT,那么如果我们再进一步将正向和反向的 Source NAT 合在一起就可以进行 Bidirectional NAT。

继续阅读“Cisco ASA Auto NAT – Static NAT (Bidirectional NAT)”

Cisco ASA Auto NAT – Static NAT (Destination NAT)

知识点强化:
    • Auto NAT 又称为 Network Object NAT
    • Auto NAT 一般应用于 Source NAT
    • Static NAT 双向通信 (前提是 ACL 已允许反方向数据通过)
    • ACL 使用真实 IP
    • Proxy ARP 自动开启

根据 Cisco 的官方文档,Auto NAT 一般应用于 Source NAT。但是我们可以利用 Static NAT 是双向通信的原理来进行 Destination NAT。这里的思路就是将 NAT 的方向翻转过来看,我们可以配置一个从外向里的 Source NAT,那么当数据从里往外发的时候就相当于做了一个 Destination NAT。

继续阅读“Cisco ASA Auto NAT – Static NAT (Destination NAT)”

Cisco ASA NAT – 基本概念

Cisco 的 NAT 从来都是谜之难用,无论是 IOS 还是 ASA。在这里专门集中整理了一下 ASA NAT 的一些概念和基础配置案例,仅限于基础部分,实在是没有精力去深究。( ASA version 8.3 之前的 NAT 对于数据处理的流程完全不同,本文所有的内容均是基于 version 8.3 及以后的版本。)

基本概念

ASA 里面 NAT 的基本概念和其他的厂商类似,大致上分为:

    • Static
      • Static NAT
      • Static PAT
    • Dynamic
      • Dynamic NAT
      • Dynamic PAT
    • Policy
      • Policy NAT
      • Policy PAT
    • Identity NAT

ASA 配置 NAT 的方法有两种:

    • Auto NAT
    • Manual NAT

继续阅读“Cisco ASA NAT – 基本概念”

TCP/UDP/ICMP Traceroute的原理及区别

Tracerotue 作为网络排错的常用工具可以显示出数据包在网络中经过的路由信息,它的工作原理也是网络工程师求职面试时的经典问题。

Traceroute 的实现一共有三种方法,分别是:

    • TCP traceroute(使用 tracetcp 程序可以实现)
    • UDP traceroute(Cisco 和 Linux 默认情况下使用)
    • ICMP traceroute ( MS Windows 默认情况下使用)

我们首先来分析基于 UDP 和 ICMP 的 traceroute,然后再来分析基于 TCP 的 traceroute,因为前两者非常类似。 继续阅读“TCP/UDP/ICMP Traceroute的原理及区别”

Cisco MTU和IP MTU

在 Cisco IOS 中我们可以使用MTUIP MTU对接口的 MTU 值进行修改:

    • MTU命令用于修改二层 MTU
    • IP MTU命令用于修改三层 MTU

https://www.cisco.com/c/dam/en/us/support/docs/ios-nx-os-software/ios-xr-software/116350-trouble-ios-xr-mtu-01.jpg

根据数据包封装顺序的先后我们可以看出二层 MTU 决定了数据包的最大值,三层 MTU 必须小于或等于二层 MTU 的值。常见的二层封装有 Ethernet,PPP,HDLC,常见的三层封装有 IPv4,IPv6 等。我们用最常见的 Ethernet 来深入探索一下 MTU 的取值因素。

继续阅读“Cisco MTU和IP MTU”