Бич нат каши


каши бич нат — 25 рекомендаций на Babyblog.ru

«Бэби» (Производитель «Колинска»)
Детские каши: гречка, овсяная, соя, рис, злаки с овощами, пшеница, гречка-яблоко, гречка-абрикос, фрукты, абрикос-яблоко, лесные ягоды, шоколад-орехи.
Молочные каши: рис, гречка, овсяная. Для малышей с 4 месяцев и далее.

«Бэби Папа» (Производитель «Плива», Хорватия)
Зерновые хлопья со вкусом лесных ягод, яблок, банана, апельсина, смешанных фруктов, меда, карамели, лесного ореха, шоколада, гречки и гречки с яблоком. Для детей с 4 месяцев.

«Бич-Нат» (Производитель «Бич-Нат», «Нутришн корпорейшн», США)
С 4 месяцев: ячменная каша, овсяная каша, рисовая каша. Не содержат сахара и молока.

С 6 месяцев: каша ассорти (овсяная мука, ячменная мука, кукурузная мука, соевое масло, фосфат кальция), рисовая каша и яблоки, рисовая каша и бананы, овсяная каша и бананы. Не содержат сахара и молока.

«Винни» (Производитель «Вологодский завод детского питания», Россия)
Рассчитаны на малышей с возраста 5 месяцев. Каши: овсяная со сливой, гречневая, рисовая, пять злаков и др., есть молочные и безмолочные.

«Топ-Топ» (Производитель «Нутриция», Польша)
Каши с 4 месяцев: безмолочная рисовая каша с грушами; молочная рисовая каша с бананом; молочная рисовая каша с абрикосами.
Каши с 6 месяцев: безмолочная каша из смеси круп; молочная пшеничная каша с фруктами; молочная пшеничная каша с гречкой.

«Тутелли» (Производитель «Валио», Финляндия)
Для детей старше 5 месяцев — молочные с фруктами: молочно-яблочная, молочно-рисовая с абрикосом, молочная пшенично-овсяная.

«Гербер» (Производитель «Гербер», США)
Овсяная каша, ячневая каша, рисовая каша, смешанная каша, овсяная каша с бананами, рисовая каша с бананами.

«Данон» (Производитель «Данон», Франция)
Сухие каши с 4 месяцев без молока: кукурузная, пять злаков (пшеница, рис, ячмень, рожь, кукуруза, сахар, солод, растительные жиры, ванилин, железо, витамины), фруктовая (яблоко, груша, банан, апельсин, сахар, пшеница, рис, соевый лецитин, раст. жиры, витамины), банановая, лесная ягода, овощная (морковь, лук, шпинат, томат, сельдерей, сахар, тапиока, кукурузный крахмал, рис, соя, растительные жиры), ореховая.

«Малышка» (Производитель «Истра», «Нутриция»)
Молочные и безмолочные каши: рисовая молочная каша; рисовая безмолочная каша; гречнево-рисовая молочная каша; гречнево-рисовая безмолочная каша; соевая каша с рисом.

«Милупа» (Производитель «Нутриция», Голландия)
Молочные каши (молочная каша с бисквитами, молочная каша с фруктами и йогуртом) и безмолочные каши (рисовая с бананом, овсяная, смесь из 7 круп).

«Хумана» (Производитель «Хумана»)
Детские каши с 4 месяцев:
СЛ — специальная каша. Не содержит молока, сахарозы, лактозы, глютена.
ГА — специальная гипоаллергенная каша. Содержит кукурузу и рис.
Яблочная каша (без молока), без глютена. Каша из кукурузы и риса (без сахара, без молока), без глютена.

Бананово-молочная каша. Грушево-рисовая молочная каша. Фруктово-молочная каша. Бисквитно-молочная каша. Молочная каша из злаков. Молочная каша из кукурузы и риса. Без сахара, глютена. Молочная манная каша. Все каши Хумана обогащены всеми необходимыми витаминами и минеральными веществами.

«Нестле» (Производитель «Нестле», Голландия)
Молочные и безмолочные каши. С 4 месяцев: молочная каша с пшеницей, молочная каша пшенично-банановая, рисовая каша. С 6 месяцев: каша из пяти злаков, молочная каша ассорти, молочная каша ассорти с фруктами, пшенич-но-овсяная каша, пшенично-овсяная каша с фруктами. Каши с фруктовым пюре с 5 месяцев: овсяная каша с яблоками и морковью, овсяная каша с яблоками и бананми, рисовая каша с яблоками и манго.

«Нордик» «Nordic»
Хлопья для детских каш быстрого приготовления, для детей от 5 — 6 месяцев: овсяная, пшеничная, перловая, из четырех злаков, с лесными ягодами, с шиповником и медом и другие.

«Сэмпер» (Производитель «Сэмпер», Швеция)
Молочные каши без сахара: кукурузно-овсяная (с 4 месяцев), овсяная с яблоками (с 5 месяцев), яблоко и груша (с 6 месяцев), груша, банан и слива (с 8 месяцев).

«Хайнц» (Производитель «Хайнц», Англия, Венгрия, Чехия, Россия)
Молочные каши с 4 месяцев (рисовая молочная каша, овсяная каша, овсяная каша с яблоком) и безмолочные каши с 4 месяцев (рисовая каша с яблоком, гречневая каша с витаминами, гречневая каша с яблоком и витаминами, гречневая с абрикосом, гречневая гипоаллергенная каша, пшеничная каша, гречневая каша с айвой (с 5 месяцев).

«Хипп» (Производитель «Хипп», Австрия, Венгрия)
Самые разнообразные каши: на зерновой основе, с фруктовым пюре, готовые кашки «Спокойной ночи», рассчитанные на самые разнообразные возрастные промежутки жизни малыша.

Готовые молочные каши уже содержат молоко, поэтому их достаточно лишь разбавить кипяченой водой. Каши обогащены 12 витаминами, кальцием и железом.
С 5 месяцев: рисовая молочная каша (молоко, рис, сахароза, кукурузный крахмал, растительные масла, корица, витамины, железо, кальций), фруктовая молочная каша (молоко, рис, кукуруза, груша, абрикос, банан, апельсин, растительные масла, сахароза, корица), кукурузно-рисовая молочная каша (молоко, кукуруза, рис, растительные масла, мед, сахар, корица, кальций, железо, витамины), банановая молочная каша (рис, молоко, бананы, растительные масла, сахар, мальтодекстрин, кукурузный крахмал, лактоза, витамины).

С 7 месяцев: шоколадно-ореховая молочная каша, молочная каша с цельными злаковыми (молоко, пшеница, рожь, овес, ячмень, пшено, рис, кукуруза, раст. масло, соль, сахароза, ваниль, корица, витамины, кальций, железо. Без сахара).

С 8 месяцев: молочная каша мюсли «Бирхера» (молоко, овес, раст. масло, яблоки, сахар, лесные орехи, мед, зерновые хлопья, абрикосы), молочная каша с фруктами и йогуртом (пшеница, молоко, мальтодекстрин, сахар, растительные масла, йогурт, ананасы, персики, абрикосы).

Безмолочные каши
С 4 месяцев: каша из цельного риса с фруктами (без сахара) (рис, яблоки, персики, растительное масло, витамин С), тропические фрукты с яблоками и рисом (без сахара) (яблоки, бананы, манго, ананасы, рисовая мука, витамин С).

С 5 месяцев: манная каша с медом (манная крупа, мед, сахар, витамин В,). Хлопья разных зерен без сахара (без молока) (пшеница, овес, рожь, рис, витамин В,). Гречневая каша с рисом и с кукурузой (гречневая мука, рисовая, кукурузная крупа, сахар, витамины). Каша из злаков с яблоком (без сахара) (яблоки, растительное масло, хлопья из цельного зерна пшеницы, овса, ржи, витамин С). Зерновая каша с яблоками и бананами (без сахара) (овсяные и пшеничные хлопья, яблоки, бананы, апельсиновый сок, растительное масло, витамин С). Зерновая каша с фруктами (без сахара) (овсяные и пшеничные хлопья, яблоки, бананы, манго, апельсиновый сок, растительное масло, витамин С). С 6 месяцев: гречневая каша с фруктами (гречневая мука, сахар, яблоки, бананы, финики, витамины). Зерновая каша мюсли Бирхера (без сахара) (хлопья овса и пшена, мука из пшеницы и ржи, сушеные бананы и яблоки). С 8 месяцев: мюсли с яблоками и бананами (без сахара) (яблоки, вода, бананы, цельномолочный йогурт, сок из яблок с мякотью, хлопья пшеницы, овса). Мюсли с грушами и ананасами (без сахара) (груша, ананасы, хлопья пшеницы, овса, цельномолочный йогурт, раст. масло). Мюсли с южными фруктами (без сахара) (яблоки, персики, бананы, йогурт, хлопья пшеницы, овса, апельсиновый сок, растительное масло).

С 12 месяцев: мюсли из цельного зерна с яблоками (без сахара) (яблоки, хлопья из цельного зерна пшеницы и овса, витамин С). Нежные мюсли с фруктами (без сахара) (яблоки, груши, ананасы, персики, сок маракуи, апельсиновый сок, пшеница, овес, раст. масло). Баночки 190 г.

Молочные каши «Спокойной ночи» в баночках по 190 г. Банановая молочная каша с медом и рисом (с 4 месяцев), фруктовая молочная каша с медом и манной крупой (с 5 месяцев), шоколадная молочная каша с манной крупой (для малышей ближе к году).

Как NAT обрабатывает фрагменты ICMP

В этом документе объясняется, как преобразование сетевых адресов (NAT) обрабатывает фрагменты протокола управляющих сообщений Интернета (ICMP) при настройке перегрузки NAT. Для получения информации о перегрузке NAT см. FAQ по NAT.

Обработка фрагментов ICMP зависит от состояния таблицы преобразования NAT и порядка, в котором маршрутизатор NAT получает фрагменты ICMP. Мы рассмотрим три разных случая, когда мы отправляем два эхо-запроса из 172.От 16.0.1 до 172.17.1.2 длиной 3600 байт каждый (три IP-фрагмента).

Требования

Для этого документа нет особых требований.

Используемые компоненты

Этот документ не ограничивается конкретными версиями программного и аппаратного обеспечения.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. В разделе «Условные обозначения технических советов Cisco».

В этом сценарии мы видим, что NAT создает полностью расширенную запись преобразования в таблице преобразования.Как только это будет сделано, и в пуле NAT больше нет других пригодных адресов, NAT отбрасывает все фрагменты, полученные до первого фрагмента (фрагмент 0) пакета.

В начале только один адрес в пуле выполняет перегрузку; таблица трансляции NAT пуста; и конфигурация NAT выглядит так:

 ip nat pool POOL1 10.10.10.3 10.10.10.3 длина префикса 24 ip nat внутри списка источников 5 перегрузка пула POOL1 список доступа 5 разрешение 172.16.0.0 0.0.0.31 

Давайте посмотрим, что происходит, когда пакеты начинают поступать на маршрутизатор NAT.

  1. Приходит фрагмент 0 пакета 1, и NAT создает полностью расширенную запись трансляции. Затем NAT транслирует и пересылает фрагмент 0 пакета 1. Теперь таблица трансляции выглядит так:

     Pro Внутри глобально Внутри локально Вне локально За пределами глобальной icmp 10.10.10.3:24320 172.16.0.1:24320 172.17.1.2:24320 172.17.1.2:24320 

    Обратите внимание на число 24320 в таблице перевода выше. Это значение идентификатора ICMP, включенное в заголовок ICMP дейтаграммы IP.Только фрагмент 0 дейтаграммы IP содержит этот заголовок ICMP. Чтобы определить, являются ли несколько фрагментов частью одного пакета, NAT необходимо отслеживать значение IP-идентификатора, которое находится в IP-заголовке всех фрагментов исходной IP-дейтаграммы. Если несколько фрагментов имеют то же значение IP-идентификатора, что и фрагмент 0, который создал расширенную трансляцию, NAT транслирует эти фрагменты, используя ту же запись расширенной трансляции. Обратитесь к RFC 791 для получения дополнительной информации о поле IP-идентификации. Обратитесь к RFC 792 для получения дополнительной информации о поле идентификации ICMP.

  2. Прибыли фрагмент 2 пакета 1 и фрагмент 1 пакета 1. Поскольку эти фрагменты являются частью того же пакета, который содержит фрагмент 0 (который создал трансляцию), NAT использует указанную выше запись трансляции для трансляции и пересылки этих фрагментов. Устройство назначения получает все фрагменты для пакета 1 и отправляет ответ.

  3. Прибыл фрагмент 1 пакета 2. Поскольку это новый пакет, его значение IP-идентификатора не совпадает ни с чем, что было записано NAT.Следовательно, NAT не может использовать существующий перевод. Он также не может создать новый перевод, поскольку у него уже есть полностью расширенная запись перевода и у него нет идентификатора ICMP для создания другого. NAT отбрасывает пакет 2, фрагмент 1.

  4. Прибыл фрагмент 0 пакета 2. NAT может использовать приведенную выше трансляцию, поскольку идентификатор ICMP совпадает. (Все эхо-запросы в рамках одного набора эхо-запросов используют один и тот же идентификационный номер ICMP.) На этом этапе NAT записывает IP-идентификатор этого пакета. NAT транслирует и пересылает фрагмент 0 пакета 2.

  5. Приходит фрагмент 2 пакета 2. Теперь NAT может использовать приведенную выше трансляцию, поскольку его значение IP-идентификатора совпадает с одним NAT, записанным на предыдущем шаге. NAT транслирует и пересылает фрагмент 2 пакета 2. Устройство назначения получает только фрагменты 0 и 2 (фрагмент 1 отсутствует), поэтому оно не отправляет ответа.

В этом сценарии мы видим, что если фрагменты, отличные от первого фрагмента (фрагмент 0), прибывают первыми, NAT создает простую трансляцию, пока в пуле NAT есть адрес, который еще не использовался в полностью расширенной трансляции.

Вначале в пуле NAT есть только один адрес, таблица трансляции NAT пуста, а конфигурация выглядит так:

 ip nat pool POOL1 10.10.10.3 10.10.10.3 длина префикса 24 ip nat внутри списка источников 5 перегрузка пула POOL1 список доступа 5 разрешение 172.16.0.0 0.0.0.31 
  1. Пришел фрагмент 1 пакета 1. NAT не может создать полностью расширенную трансляцию в таблице трансляции, так как в этом фрагменте отсутствует информация об идентификаторе ICMP.Однако, поскольку полностью расширенных переводов нет, NAT входит в простой перевод. Затем NAT транслирует и пересылает фрагмент 1 пакета 1. Запись перевода выглядит так:

     Pro Внутри глобально Внутри локально Вне локально За пределами глобальной --- 10.10.10.3 172.16.0.1 --- --- 
  2. Приходит фрагмент 0 пакета 1. Поскольку информация об идентификаторе ICMP включена в этот фрагмент, NAT вводит полностью расширенную запись преобразования:

     Pro Внутри глобально Внутри локально Вне локально За пределами глобальной --- 10.10.10.3 172.16.0.1 --- --- icmp 10.10.10.3:24321 172.16.0.1:24321 172.17.1.2:24321 172.17.1.2:24321 

    NAT затем записывает информацию об идентификаторе IP, транслирует и пересылает фрагмент 0 пакета 1.

  3. Приходит фрагмент 2 пакета 1. Поскольку этот фрагмент имеет ту же информацию IP-идентификатора, которую NAT записал на шаге 2, NAT использует полностью расширенную трансляцию для преобразования и пересылки фрагмента 2 пакета 1.

    Целевое устройство получает все фрагменты и ответы. На этом этапе все эхо-запросы проходят успешно, пока таблица трансляции NAT не будет очищена или не истечет время ожидания.

В этом сценарии мы видим, что если фрагменты, отличные от первого фрагмента (фрагмент 0), прибывают первыми, NAT создает простую трансляцию, пока в пуле NAT есть адрес, который еще не использовался в полностью расширенной трансляции. Если расширенная трансляция в таблице NAT уже использует адрес, вы рискуете, что NAT переведет каждый из адресов источника фрагмента на другой адрес.

В начале, более одного адреса в пуле NAT выполняют перегрузку, таблица трансляции уже имеет расширенную трансляцию, а конфигурация следующая:

 ip nat pool POOL1 10.10.10.3 10.10.10.5 длина префикса 24 ip nat внутри списка источников 5 перегрузка пула POOL1 список доступа 5 разрешение 172.16.0.0 0.0.0.31 

Таблица перевода выглядит так:

 Pro Внутри глобально Внутри локально Вне локально За пределами глобальной icmp 10.10.10.3: 24322 172.16.0.1:24322 172.17.1.2:24322 172.17.1.2:24322 
  1. Пришел фрагмент 1 пакета 1. NAT не может создать полностью расширенную запись таблицы трансляции, поскольку в этом фрагменте отсутствует информация об идентификаторе ICMP, и он не может создать простую запись трансляции для адреса 10.10.10.3, поскольку для этого IP-адреса существует расширенная запись. . NAT выбирает следующий свободный IP-адрес (10.10.10.4) и создает простую трансляцию. Затем NAT транслирует и пересылает фрагмент 1 пакета 1.Таблица перевода теперь выглядит так:

     Pro Внутри глобально Внутри локально Вне локально За пределами глобальной --- 10.10.10.4 172.16.0.1 --- --- icmp 10.10.10.3:24322 172.16.0.1:24322 172.17.1.2:24322 172.17.1.2:24322 
  2. Приходит фрагмент 0 пакета 1. Поскольку информация об идентификаторе ICMP включена в этот фрагмент, NAT вводит полностью расширенную запись преобразования для адреса 10.10.10.3, и записывает информацию об идентификаторе IP для этого пакета. Затем NAT транслирует и пересылает фрагмент 0 пакета 1. Теперь таблица трансляции выглядит так:

     Pro Внутри глобально Внутри локально Вне локально За пределами глобальной --- 10.10.10.4 172.16.0.1 --- --- icmp 10.10.10.3:24322 172.16.0.1:24322 172.17.1.2:24322 172.17.1.2:24322 icmp 10.10.10.3:24323 172.16.0.1:24323 172.17.1.2:24323 172.17.1.2: 24323 
  3. Приходит фрагмент 2 пакета 1. Поскольку его информация об идентификаторе IP совпадает с одним NAT, записанным на шаге 2, NAT использует полностью расширенную трансляцию, созданную на шаге 2, для трансляции и пересылки фрагмента 2 пакета 1.

    В этот момент устройство назначения получает все фрагменты пакета 1, но адрес источника фрагмента 0 и 2 был переведен в 10.10.10.3, а фрагмент 1 переведен в 10.10.10.4. Следовательно, устройство-адресат не может повторно собрать пакет и не отправляет ответ.

  4. Прибыл фрагмент 0 пакета 2. NAT либо использует вышеуказанную полностью расширенную трансляцию, либо создает новую полностью расширенную трансляцию в зависимости от значения поля идентификатора ICMP фрагмента. В любом случае NAT записывает информацию об идентификаторе IP. Затем NAT транслирует и пересылает фрагмент 0 пакета 2.

  5. Приходит фрагмент 2 пакета 2. Его информация об IP-идентификаторе совпадает с записью NAT на шаге 4, поэтому NAT использует вторую полностью расширенную трансляцию, созданную на шаге 4.NAT транслирует и пересылает фрагмент 2 пакета 2

  6. Прибыл фрагмент 1 пакета 2. Его информация об IP-идентификаторе совпадает с информацией, записанной NAT на шаге 4, поэтому NAT использует вторую полностью расширенную трансляцию, созданную на шаге 4. NAT транслирует и пересылает фрагмент 1 пакета 2.

    Целевое устройство получает все три фрагмента пакета 2 из одного источника. (10.10.10.3), поэтому он повторно собирает пакет и отвечает.

Отбрасывает или пересылает фрагмент ICMP NAT зависит от ряда вещей, таких как порядок, в котором маршрутизатор NAT получает фрагменты, и состояние таблицы трансляции в то время.При определенных условиях NAT транслирует фрагменты по-разному, что делает невозможным повторную сборку пакета устройством назначения.

.

Порядок работы NAT - Cisco

В этом документе показано, что порядок, в котором транзакции обрабатываются с использованием трансляции сетевых адресов (NAT), зависит от того, идет ли пакет из внутренней сети во внешнюю сеть или из внешней сети во внутреннюю сеть.

Требования

Читатели этого документа должны знать эту тему:

Используемые компоненты

Этот документ не ограничивается конкретными версиями программного и аппаратного обеспечения.

Примечание: Информация в этом документе основана на версии программного обеспечения Cisco IOS® Software Release 12.2 (27)

Условные обозначения

Дополнительные сведения об условных обозначениях в документе см. В разделе «Условные обозначения технических советов Cisco».

В этой таблице, когда NAT выполняет преобразование из глобального в локальное или из локального в глобальное, трансляция различна в каждом потоке.

Внутри наружу снаружи внутрь
  • Если IPSec, проверьте список доступа к вводу
  • Расшифровка
  • - для CET (Cisco Encryption Technology) или IPSec
  • проверить список доступа к вводу
  • проверить пределы скорости ввода
  • учет ввода
  • перенаправить в веб-кеш
  • политика маршрутизации
  • маршрутизация
  • NAT изнутри наружу (локальный перевод на глобальный)
  • крипто (проверьте карту и отметьте для шифрования)
  • проверить список доступа к выходу
  • проверить (управление доступом на основе контекста (CBAC))
  • TCP перехват
  • шифрование
  • Очередь
  • Если IPSec, проверьте список доступа к вводу
  • Расшифровка
  • - для CET или IPSec
  • проверить список доступа к вводу
  • проверить пределы скорости ввода
  • учет ввода
  • перенаправить в веб-кеш
  • NAT снаружи внутрь (глобальный перевод на локальный)
  • политика маршрутизации
  • маршрутизация
  • крипто (проверьте карту и отметьте для шифрования)
  • проверить список доступа к выходу
  • проверить CBAC
  • TCP перехват
  • шифрование
  • Очередь

Этот пример демонстрирует, как порядок операций влияет на NAT.В этом случае отображаются только NAT и маршрутизация.

В предыдущем примере маршрутизатор-A настроен на преобразование внутреннего локального адреса 171.68.200.48 в 172.16.47.150, как показано в этой конфигурации.

! версия 11.2 нет службы udp-small-servers нет службы tcp-small-servers ! имя хоста Router-A ! включить пароль ww !  ip nat внутри источника статический 171.68.200.48 172.16.47.150   ! --- Эта команда создает статическую трансляцию NAT! --- между 171.68.200.48 и 172.16.47.150  ip доменное имя cisco.com ip-сервер имен 171.69.2.132 ! интерфейс Ethernet0 нет IP-адреса неисправность ! интерфейс Serial0 IP-адрес 172.16.47.161 255.255.255.240  ip nat внутри   ! --- Настраивает Serial0 как внутренний интерфейс NAT  нет ip mroute-cache нет ip route-cache нет очереди ! интерфейс Serial1 IP-адрес 172.16.47.146 255.255.255.240  ip nat за пределами   ! --- Настраивает Serial1 как внешний интерфейс NAT  нет ip mroute-cache нет ip route-cache ! нет IP без класса  ip маршрут 0.0.0.0 0.0.0.0 172.16.47.145   ! --- Настраивает маршрут по умолчанию на 172.16.47.145  IP-маршрут 171.68.200.0 255.255.255.0 172.16.47.162 ! ! линия con 0 время ожидания выполнения 0 0 линия aux 0 линия vty 0 4 пароль ww авторизоваться ! конец 

Таблица перевода указывает, что предполагаемый перевод существует.

 Router-A #  показать перевод ip nat  Pro Внутри глобально Внутри локально Вне локально За пределами глобального --- 172.16.47.150 171.68.200.48 --- --- 

Эти выходные данные взяты из маршрутизатора-A с включенным пакетом отладочного IP-пакета и debug ip nat , а также с устройством 171.68.200.48, предназначенным для 172.16.47.142.

Примечание. Команды отладки генерируют значительный объем вывода. Используйте их только при низком трафике в IP-сети, чтобы не пострадали другие действия в системе. Прежде чем вводить команды debug , обратитесь к разделу Важная информация о командах отладки.

 IP: s = 171.68.200.48 (Serial0), d = 172.16.47.142, len 100, немаршрутизируемый Тип ICMP = 8, код = 0 IP: s = 172.16.47.161 (локальный), d = 171.68.200.48 (Serial0), len 56, отправка Тип ICMP = 3, код = 1 IP: s = 171.68.200.48 (Serial0), d = 172.16.47.142, len 100, немаршрутизируемый Тип ICMP = 8, код = 0 IP: s = 171.68.200.48 (Serial0), d = 172.16.47.142, len 100, немаршрутизируемый Тип ICMP = 8, код = 0 IP: s = 172.16.47.161 (локальный), d = 171.68.200.48 (Serial0), len 56, отправка Тип ICMP = 3, код = 1 IP: s = 171.68.200.48 (Serial0), d = 172.16.47.142, len 100, немаршрутизируемый Тип ICMP = 8, код = 0 IP: s = 171.68.200.48 (Serial0), d = 172.16.47.142, len 100, немаршрутизируемый Тип ICMP = 8, код = 0 IP: s = 172.16.47.161 (локальный), d = 171.68.200.48 (Serial0), len 56, отправка Тип ICMP = 3, код = 1 

Поскольку в предыдущих выходных данных нет отладочных сообщений NAT, вы знаете, что существующая статическая трансляция не используется и что у маршрутизатора нет маршрута для адреса назначения (172.16.47.142) в своей таблице маршрутизации. Результатом немаршрутизируемого пакета является сообщение ICMP о недоступности, которое отправляется на внутреннее устройство.

Но маршрутизатор A имеет маршрут по умолчанию 172.16.47.145, так почему же маршрут считается немаршрутизируемым?

Маршрутизатор-A имеет no ip classless , настроенный, что означает, что если пакет, предназначенный для «основного» сетевого адреса (в данном случае 172.16.0.0), для которого существуют подсети в таблице маршрутизации, маршрутизатор не полагается на маршрут по умолчанию.Другими словами, если вы выполните команду no ip classless , это отключает возможность маршрутизатора искать маршрут с самым длинным совпадением битов. Чтобы изменить это поведение, вы должны настроить ip classless на Router-A. Команда ip classless включена по умолчанию на маршрутизаторах Cisco с программным обеспечением Cisco IOS версии 11.3 и выше.

 Router-A #  настроить терминал  Введите команды конфигурации, по одной в каждой строке.Закончите с помощью CTRL / Z. Router-A (config) #  ip classless  Маршрутизатор-A (конфигурация) #  конец  Router-A #  показать перевод ip nat  % SYS-5-CONFIG_I: настраивается из консоли с помощью консоли nat tr Pro Внутри глобально Внутри локально Вне локально За пределами глобального --- 172.16.47.150 171.68.200.48 --- --- 

Если вы повторите тот же тест ping, что и ранее, вы увидите, что пакет транслируется, и проверка связи прошла успешно.

 Ping-ответ на устройстве 171.68.200.48 D: \> ping 172.16.47.142 Пинг 172.16.47.142 с 32 байтами данных: Ответ от 172.16.47.142: байты = 32 время = 10 мс TTL = 255 Ответ от 172.16.47.142: байты = 32, время <10 мс TTL = 255 Ответ от 172.16.47.142: байты = 32, время <10 мс TTL = 255 Ответ от 172.16.47.142: байты = 32, время <10 мс TTL = 255 Статистика пинга для 172.16.47.142: Пакетов: отправлено = 4, принято = 4, потеряно = 0 (0%) Приблизительное время в оба конца в миллисекундах: Минимум = 0 мс, максимум = 10 мс, средний = 2 мс Сообщения отладки на маршрутизаторе A, указывающие, что пакеты, сгенерированные устройством 171.68.200.48 переводятся NAT. Маршрутизатор-A #  * 28 марта, 03:34:28: IP: tableid = 0, s = 171.68.200.48 (Serial0), d = 172.16.47.142 (Serial1), маршрутизируется через RIB   * 28 марта, 03:34:28: NAT: s = 171.68.200.48-> 172.16.47.150, d = 172.16.47.142 [160]   * 28 марта, 03:34:28: IP: s = 172.16.47.150 (Serial0), d = 172.16.47.142 (Serial1), g = 172.16.47.145, длина 100, передняя   * 28 марта, 03:34:28: тип ICMP = 8, код = 0   * 28 марта, 03:34:28: NAT *: s = 172.16.47.142, d = 172.16.47.150-> 171.68.200.48 [160]   * 28 марта, 03:34:28: IP: tableid = 0, s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), маршрутизируется через RIB   * 28 марта, 03:34:28: IP: s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), g = 172.16.47.162, длина 100, передняя   * 28 марта, 03:34:28: тип ICMP = 0, код = 0  * 28 марта, 03:34:28: NAT *: s = 171.68.200.48-> 172.16.47.150, d = 172.16.47.142 [161] * 28 марта, 03:34:28: NAT *: s = 172.16.47.142, d = 172.16.47.150-> 171.68.200.48 [161] * 28 марта, 03:34:28: IP: tableid = 0, s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), маршрутизируется через RIB * 28 марта, 03:34:28: IP: s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), g = 172.16.47.162, len 100, вперед * 28 марта, 03:34:28: тип ICMP = 0, код = 0 * 28 марта, 03:34:28: NAT *: s = 171.68.200.48-> 172.16.47.150, d = 172.16.47.142 [162] * 28 марта, 03:34:28: NAT *: s = 172.16.47.142, d = 172.16.47.150-> 171.68.200.48 [162] * 28 марта, 03:34:28: IP: tableid = 0, s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), маршрутизируется через RIB * 28 марта, 03:34:28: IP: s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), g = 172.16.47.162, len 100, вперед * 28 марта, 03:34:28: тип ICMP = 0, код = 0 * 28 марта, 03:34:28: NAT *: s = 171.68.200.48-> 172.16.47.150, d = 172.16.47.142 [163] * 28 марта, 03:34:28: NAT *: s = 172.16.47.142, d = 172.16.47.150-> 171.68.200.48 [163] * 28 марта, 03:34:28: IP: tableid = 0, s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), маршрутизируется через RIB * 28 марта, 03:34:28: IP: s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), g = 172.16.47.162, len 100, вперед * 28 марта, 03:34:28: тип ICMP = 0, код = 0 * 28 марта, 03:34:28: NAT *: s = 171.68.200.48-> 172.16.47.150, d = 172.16.47.142 [164] * 28 марта, 03:34:28: NAT *: s = 172.16.47.142, d = 172.16.47.150-> 171.68.200.48 [164] * 28 марта, 03:34:28: IP: tableid = 0, s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), маршрутизируется через RIB * 28 марта, 03:34:28: IP: s = 172.16.47.142 (Serial1), d = 171.68.200.48 (Serial0), g = 172.16.47.162, len 100, вперед * 28 марта, 03:34:28: тип ICMP = 0, код = 0 Router-A #  отладить все ошибки  Отключена вся возможная отладка 

Предыдущий пример показывает, что когда пакет проходит изнутри наружу, NAT-маршрутизатор проверяет свою таблицу маршрутизации на наличие маршрута к внешнему адресу, прежде чем он продолжит преобразование пакета.Поэтому важно, чтобы маршрутизатор NAT имел действительный маршрут для внешней сети. Маршрут к сети назначения должен быть известен через интерфейс, который определен как внешний NAT в конфигурации маршрутизатора.

Важно отметить, что возвращаемые пакеты транслируются перед маршрутизацией. Следовательно, маршрутизатор NAT также должен иметь действительный маршрут для внутреннего локального адреса в своей таблице маршрутизации.

.

Основные концепции NAT, объясненные простым языком

В этом руководстве подробно объясняются основные концепции протокола NAT (преобразование сетевых адресов), типы NAT (статический NAT, динамический NAT, перегрузка NAT и PAT) и терминология NAT (внутри локального, внешнего локального, внутреннего глобального и внешнего глобального). Пошаговые инструкции по работе NAT на практических примерах в пакетном трассировщике.

Базовый обзор NAT

Существует несколько ситуаций, когда нам требуется преобразование адресов, например, сеть, не имеющая достаточного количества общедоступных IP-адресов, хочет подключиться к Интернету, две сети с одинаковыми IP-адресами хотят объединить или из соображений безопасности сеть хочет скрыть его внутренняя IP-структура из внешнего мира.NAT (преобразование сетевых адресов) - это процесс преобразования IP-адреса. NAT может выполняться на межсетевом экране, сервере и маршрутизаторе. В этом руководстве мы поймем, как это выполняется на маршрутизаторе Cisco.

Это руководство является первой частью нашей статьи « Изучите NAT (преобразование сетевых адресов) шаг за шагом на простом языке с примерами ». Вы можете прочитать другие части этой статьи здесь.

Как настроить статический NAT в маршрутизаторе Cisco

Это руководство является второй частью статьи.В этом руководстве с примерами объясняется, как настроить статический NAT (преобразование сетевых адресов) в маршрутизаторе Cisco.

Как настроить динамический NAT в маршрутизаторе Cisco

Это руководство является третьей частью этой статьи. Это руководство объясняет, как настроить динамический NAT (преобразование сетевых адресов) в маршрутизаторе Cisco, шаг за шагом с примерами.

Настройте PAT в маршрутизаторе Cisco с примерами

Это руководство является последней частью этой статьи. В этом руководстве объясняется, как настроить PAT (преобразование адресов порта) в маршрутизаторе Cisco, шаг за шагом с примерами трассировщика пакетов.

Терминология NAT

Прежде чем мы подробно разберемся с NAT, давайте познакомимся с четырьмя основными терминами, используемыми в NAT.

Термин Описание
Внутренний локальный IP-адрес До трансляции исходный IP-адрес, расположенный внутри локальной сети.
Внутренний глобальный IP-адрес После трансляции исходный IP-адрес находится вне локальной сети.
Внешний глобальный IP-адрес До трансляции IP-адрес назначения, расположенный за пределами удаленной сети.
Внешний локальный IP-адрес После преобразования IP-адрес назначения, расположенный внутри удаленной сети.

Давайте разберемся с этими терминами на примере. Предположим, пользователь просматривает веб-сайт со своего домашнего компьютера. Сеть, которая соединяет его компьютер с Интернетом, считается для него локальной сетью. То же, что и сеть, которая соединяет веб-сервер, на котором расположен веб-сайт, с Интернетом, считается локальной сетью для веб-сервера.Сеть, которая соединяет обе сети в Интернете, считается глобальной сетью.

NAT Basic Terms

На маршрутизаторе интерфейс, который связан с локальной сетью, будет настроен с внутренним локальным IP-адресом, а интерфейс, который связан с глобальной сетью, будет настроен с внутренним глобальным IP-адресом. Внутри и снаружи зависит от того, где мы сейчас находимся. Например, в приведенной выше сети для пользователя маршрутизатор R1 находится внутри, а маршрутизатор R2 - снаружи.

nat inside local

В то время как для веб-сервера маршрутизатор R2 находится внутри, а маршрутизатор R1 - снаружи.

nat inside global

В основном на маршрутизаторе с включенным NAT существует два типа интерфейса: локальный и внутренний глобальный.

Итак, что насчет внешнего мира и внешнего локального? Что ж ... эти термины используются для теоретического объяснения процесса NAT. Практически нам никогда не нужно настраивать внешний локальный и внешний глобальный, как они звучат. Например, давайте еще раз обсудим приведенный выше пример.

На R1 мы настроим внутренний локальный адрес (10.0.0.1) и внутренний глобальный адрес (100.0.0.1), который станет внешним локальным адресом (10.0.0.1) и внешним глобальным адресом (100.0.0.1) для R2 соответственно.

Таким же образом на R2 мы настроим внутренний локальный адрес (192.168.1.1) и внутренний глобальный адрес (100.0.0.2), который станет внешним локальным адресом (192.168.1.1) и внешним глобальным адресом (100.0.0.2) для R1 соответственно.

Так что практически мы настраиваем только внутри локально и внутри глобально. То, что внутри для одной стороны, снаружи для другой стороны.

nat basic terminology explained

Типы NAT

Существует три типа NAT; Статический NAT, динамический NAT и PAT.Эти типы определяют, как внутренний локальный IP-адрес будет сопоставлен с внутренним глобальным IP-адресом.

Статический NAT

В этом типе мы вручную сопоставляем каждый внутренний локальный IP-адрес с внутренним глобальным IP-адресом. Поскольку этот тип использует сопоставление один-к-одному, нам нужно точно такое же количество IP-адресов с обеих сторон.

Динамический NAT

В этом типе мы создаем пул внутренних глобальных IP-адресов и позволяем устройству NAT автоматически сопоставлять внутренний локальный IP-адрес с доступным внешним глобальным IP-адресом из пула.

PAT

В этом типе один внутренний глобальный IP-адрес сопоставляется с несколькими внутренними локальными IP-адресами с использованием адреса исходного порта. Это также известно как PAT (преобразование адресов порта) или перегрузка NAT.

Ситуации, в которых используется NAT

Нет жестких правил о том, где мы должны использовать NAT или где мы не должны использовать NAT. Следует ли нам использовать NAT или нет, зависит исключительно от требований к сети, например NAT - лучшее решение в следующих ситуациях: -

  • Наша сеть построена с частными IP-адресами, и мы хотим соединить ее с Интернетом.Как мы знаем, для подключения к Интернету нам необходим публичный IP-адрес. В этой ситуации мы можем использовать устройство NAT, которое сопоставит частный IP-адрес с общедоступным IP-адресом.
  • Две сети, использующие одинаковую схему IP-адресов, хотят объединиться. В этой ситуации используется устройство NAT, чтобы избежать проблемы перекрытия IP-адресов.
  • Мы хотим подключить несколько компьютеров к Интернету через один общедоступный IP-адрес. В этой ситуации NAT используется для сопоставления нескольких IP-адресов с одним IP-адресом через номер порта.

Как работает NAT

Чтобы понять, как работает NAT, рассмотрим еще один пример. В этом примере пользователь обращается к веб-серверу. Пользователь и веб-сервер подключены через устройства NAT. И пользователь, и веб-сервер используют частные IP-адреса, которые не маршрутизируются в Интернете. Теперь давайте разберемся, как NAT делает возможным эту связь.

How NAT works

Пользователь создает пакет данных для веб-сервера. Этот пакет имеет адрес источника 10.0.0.1 и адрес назначения 100.0.0.2.

Здесь адрес источника - правильный адрес, но почему пакет имеет адрес назначения 100.0.0.2 вместо фактического адреса назначения 192.168.1.1?

Когда системе необходимо подключиться к веб-сайту, она использует DNS-сервер для разрешения IP-адреса веб-сайта. DNS-сервер объявляет глобальный IP-адрес веб-сайта. Посторонний может подключиться к сайту только через объявленный IP-адрес. В нашем примере глобальный IP-адрес веб-сервера - 100.0.0.2. По этой причине пакет имеет адрес назначения 100.0.0.2 вместо 192.168.1.1.

Этот пакет достигает R1. Поскольку этот пакет содержит частный IP-адрес в поле источника, который не маршрутизируется в Интернете, R1 должен обновить частный IP-адрес с помощью маршрутизируемого общедоступного IP-адреса перед пересылкой этого пакета.

R1 проверяет таблицу NAT на наличие доступных общедоступных IP-адресов. В зависимости от того, какой тип NAT (статический, динамический или PAT) настроен, из таблицы NAT для этого пакета будет выбран один маршрутизируемый общедоступный IP-адрес.

В нашем примере для этого пакета выбирается 100.0.0.1. Теперь R1 заменит 10.0.0.1 на 100.0.0.1 в исходном поле пакета и перенаправит его на R2.

R2 получает этот пакет и считывает IP-адрес назначения. R2 просматривает таблицу NAT, чтобы узнать фактический IP-адрес пункта назначения. Поскольку в таблице NAT R2 есть запись для адреса 100.0.0.2, которая сопоставляет его с адресом 192.168.1.1, R2 заменит адрес назначения 100.0.0.2 на адрес 192.168.1.1 и переслать его на веб-сервер.

Веб-сервер

обработает этот пакет и ответит собственным пакетом. Этот пакет имеет адрес источника 192.168.1.1 и адрес назначения 100.0.0.1.

Поскольку веб-сервер получил этот пакет от 100.0.0.1, он ответит на него вместо 10.0.0.1.

R2 получает этот пакет. Перед пересылкой этого пакета R2 заменит исходный IP-адрес сопоставленным IP-адресом в таблице NAT. В этом примере 192.168.1.1 будет заменено на 100.0.0.2.

R1 получает этот пакет и проверяет адрес назначения. R1 выполнит запрос в таблице NAT, чтобы выяснить IP-адрес, связанный с этим IP-адресом назначения. Поскольку этот IP-адрес назначения 100.0.0.1 сопоставлен с 10.0.0.1, R1 заменит этот IP-адрес назначения 100.0.0.1 на 10.0.0.1 и перенаправит его на ПК.

С точки зрения пользователя IP-адрес веб-сервера - 100.0.0.2. А с точки зрения веб-сервера IP-адрес пользователя - 100.0.0.1. Таким образом, и пользователь, и веб-сервер никогда не узнают, с кем на самом деле общаются.

Преимущества и недостатки NAT

Nat обеспечивает следующие преимущества: -

  • NAT решает проблему перекрытия IP-адресов.
  • NAT скрывает внутреннюю структуру IP от внешнего мира.
  • NAT позволяет нам подключаться к любой сети без изменения IP-адреса.
  • NAT позволяет нам подключать несколько компьютеров к Интернету через один общедоступный IP-адрес.

NAT имеет следующие недостатки: -

  • NAT добавляет дополнительную задержку в сети.
  • Некоторые приложения несовместимы с NAT.
  • Сквозное отслеживание IP не работает с NAT.
  • NAT скрывает фактическое конечное устройство.
Это все для этой статьи. В следующей части этого руководства мы узнаем, как настроить статический NAT и динамический NAT в маршрутизаторе Cisco. .

Использование NAT в перекрывающихся сетях

В этом документе показано, как можно использовать преобразование сетевых адресов (NAT) для перекрывающихся сетей. Перекрывающиеся сети возникают, когда вы назначаете IP-адрес устройству в своей сети, которое уже принадлежит на законных основаниях и назначено другому устройству в Интернете или внешней сети. Перекрывающиеся сети также возникают, когда две компании, обе из которых используют IP-адреса RFC 1918 в своих сетях, объединяются. Этим двум сетям необходимо взаимодействовать, желательно без переадресации всех своих устройств.

Требования

Базовое понимание IP-адресации, IP-маршрутизации и системы доменных имен (DNS) полезно для понимания содержания этого документа.

Используемые компоненты

Поддержка NAT началась в программном обеспечении Cisco IOS ® версии 11.2. Для получения дополнительной информации о поддержке платформы см. Часто задаваемые вопросы о NAT.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. В разделе Условные обозначения технических советов Cisco.

В этом разделе представлена ​​информация для настройки функций, описанных в этом документе.

Примечание: Чтобы найти дополнительную информацию о командах, используемых в этом документе, используйте инструмент поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе используется настройка сети, показанная на схеме ниже.

Обратите внимание, что внутреннее устройство имеет тот же IP-адрес, что и внешнее устройство, с которым оно желает общаться.

Конфигурации

Маршрутизатор A настроен для NAT, так что он преобразует внутреннее устройство в адрес из пула «test-loop», а внешнее устройство - в адрес из пула «test-dns». Объяснение того, как эта конфигурация помогает с перекрытием, следует за таблицей конфигурации ниже.

Маршрутизатор A
! версия 11.2 нет службы udp-small-servers нет службы tcp-small-servers ! имя хоста Router-A ! ! ip доменное имя cisco.com ip-сервер имен 171.69.2.132 ! интерфейс Loopback0 IP-адрес 1.1.1.1 255.0.0.0 ! интерфейс Ethernet0 IP-адрес 135.135.1.2 255.255.255.0 неисправность ! интерфейс Serial0 IP-адрес 171.68.200.49 255.255.255.0 ip nat внутри нет ip mroute-cache нет ip route-cache нет очереди ! интерфейс Serial1 IP-адрес 172.16.47.146 255.255.255.240 ip nat снаружи нет ip mroute-cache нет ip route-cache !  ip nat pool test-loop 172.16.47.161 172.16.47.165 длина префикса 28 Тест-днс IP NAT 172.16.47.177 172.16.47.180 длина префикса 28 ip nat внутри списка источников 7, тестовый цикл пула ip nat вне списка источников 7 пул test-dns  ip бесклассовый IP-маршрут 0.0.0.0 0.0.0.0 172.16.47.145  список доступа 7 разрешение 171.68.200.0 0.0.0.255  ! ! линия con 0 время ожидания выполнения 0 0 линия aux 0 линия vty 0 4 авторизоваться ! конец 

Чтобы вышеуказанная конфигурация помогала с перекрытием, когда внутреннее устройство обменивается данными с внешним устройством, оно должно использовать доменное имя внешнего устройства.

Внутреннее устройство не может использовать IP-адрес внешнего устройства, поскольку он совпадает с адресом, присвоенным ему (внутреннему устройству). Следовательно, внутреннее устройство отправит DNS-запрос на доменное имя внешнего устройства. IP-адрес внутреннего устройства будет источником этого запроса, и этот адрес будет преобразован в адрес из пула «тестового цикла», поскольку настроена команда ip nat inside source list .

DNS-сервер отвечает на адрес, который пришел из пула "test-loop", с IP-адресом, связанным с доменным именем внешнего устройства в полезной нагрузке пакета.Адрес назначения ответного пакета преобразуется обратно во внутренний адрес устройства, а затем адрес в полезных данных ответного пакета преобразуется в адрес из пула «test-dns» из-за ip nat вне списка источников команда. Следовательно, внутреннее устройство узнает, что IP-адрес внешнего устройства является одним из адресов из пула «test-dns», и будет использовать этот адрес при связи с внешним устройством. Маршрутизатор, на котором запущен NAT, выполняет переводы на этом этапе.

Этот процесс можно подробно увидеть в разделе «Устранение неполадок». Устройства, использующие перекрывающиеся адреса, могут общаться друг с другом без использования DNS, но в этом случае необходимо настроить статический NAT. Ниже приводится пример того, как это можно сделать.

Маршрутизатор A
! версия 11.2 нет службы udp-small-servers нет службы tcp-small-servers ! имя хоста Router-A ! ! ip доменное имя cisco.com Именной сервер 171.69.2.132 ! интерфейс Loopback0 IP-адрес 1.1.1.1 255.0.0.0 ! интерфейс Ethernet0 IP-адрес 135.135.1.2 255.255.255.0 неисправность ! интерфейс Serial0 IP-адрес 171.68.200.49 255.255.255.0 ip nat внутри нет ip mroute-cache нет ip route-cache нет очереди ! интерфейс Serial1 IP-адрес 172.16.47.146 255.255.255.240 ip nat снаружи нет ip mroute-cache нет ip route-cache ! ip nat pool test-loop 172.16.47.161 172.16.47.165 длина префикса 28  ip nat внутри списка источников 7 цикл тестирования пула ip nat за пределами источника статический 171.68.200.48 172.16.47.177  ip бесклассовый IP-маршрут 0.0.0.0 0.0.0.0 172.16.47.145  IP-маршрут 172.16.47.160 255.255.255.240 Serial0   ! --- Эта строка необходима для того, чтобы NAT работал для обратного трафика. ! --- У маршрутизатора должен быть маршрут для пула внутрь! --- Интерфейс NAT, чтобы он знал, что необходима трансляция.   список доступа 7 разрешение 171.68.200.0 0.0.0.255  ! ! линия con 0 время ожидания выполнения 0 0 линия aux 0 линия vty 0 4 авторизоваться ! конец 

В вышеуказанной конфигурации, когда внутреннее устройство хочет связаться с внешним устройством, оно теперь может использовать IP-адрес 172.16.47.177, а в DNS нет необходимости. Как показано выше, трансляция адреса внутреннего устройства по-прежнему выполняется динамически, а это означает, что маршрутизатор должен получать пакеты от внутреннего устройства до создания трансляции. По этой причине внутреннее устройство должно инициировать все соединения, чтобы внутреннее и внешнее устройства могли взаимодействовать. Если требовалось, чтобы внешнее устройство инициировало соединения с внутренним устройством, то адрес внутреннего устройства также должен быть статически настроен.

В настоящее время для этой конфигурации нет процедуры проверки.

В этом разделе представлена ​​информация, которую можно использовать для устранения неполадок в конфигурации.

Процесс, с помощью которого внутреннее устройство использовало DNS для связи с внешним устройством, как описано выше, можно подробно просмотреть с помощью следующего процесса устранения неполадок.

В настоящее время в таблице переводов нет переводов, которые можно увидеть с помощью команды show ip nat translations .В приведенных ниже примерах вместо этого используются команды debug ip packet и debug ip nat .

Примечание: Команды debug генерируют значительный объем вывода. Используйте его только при низком трафике в IP-сети, чтобы не повлиять на другие действия в системе.

 Router-A #  показать переводы ip nat  Router-A #  показать отладку  Общий IP: Включена отладка IP-пакетов (подробно) Отладка IP NAT на 

Когда внутреннее устройство отправляет свой DNS-запрос на DNS-сервер, который находится вне домена NAT, исходный адрес DNS-запроса (адрес внутреннего устройства) преобразуется из-за команды ip nat внутри .Это можно увидеть в результатах отладки ниже.

 NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.69.2.132 [0] IP: s = 172.16.47.161 (Serial0), d = 171.69.2.132 (Serial1), g = 172.16.47.145, len 66, вперед UDP src = 6988, dst = 53 

Когда DNS-сервер отправляет ответ DNS, полезная нагрузка ответа DNS переводится из-за команды ip nat за пределами .

Примечание. NAT не смотрит на полезную нагрузку ответа DNS, если только не выполняется преобразование IP-заголовка ответного пакета.См. Команду ip nat outside source list 7 pool в конфигурации маршрутизатора выше.

Первое сообщение NAT в отладочных выходных данных ниже показывает, что маршрутизатор распознает ответ DNS и преобразует IP-адрес в полезной нагрузке в 172.16.47.177. Второе сообщение NAT показывает, как маршрутизатор преобразует пункт назначения ответа DNS, чтобы он мог перенаправить ответ обратно на внутреннее устройство, выполнившее первоначальный запрос DNS. Часть заголовка назначения, внутренний глобальный адрес, преобразуется во внутренний локальный адрес.

Содержимое ответа DNS переведено:

 NAT: запись ресурса DNS 171.68.200.48 -> 172.16.47.177 

Преобразуется часть назначения IP-заголовка в ответном пакете DNS:

 NAT: s = 171.69.2.132, d = 172.16.47.161-> 171.68.200.48 [65371] IP: s = 171.69.2.132 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 315, вперед UDP src = 53, dst = 6988 

Давайте посмотрим на другой запрос DNS и ответим:

 NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.69.2.132 [0] IP: s = 172.16.47.161 (Serial0), d = 171.69.2.132 (Serial1), g = 172.16.47.145, len 66, вперед UDP src = 7419, dst = 53 NAT: запись ресурса DNS 171.68.200.48 -> 172.16.47.177 NAT: s = 171.69.2.132, d = 172.16.47.161-> 171.68.200.48 [65388] IP: s = 171.69.2.132 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 315, вперед UDP src = 53, dst = 7419 

Теперь, когда полезная нагрузка DNS была преобразована, в нашей таблице преобразования есть запись для внешних локальных и глобальных адресов внешнего устройства.С этими записями в таблице мы теперь можем полностью транслировать заголовок пакетов ICMP, которыми обмениваются внутреннее и внешнее устройства. Давайте посмотрим на этот обмен в выводе отладки ниже.

Следующий вывод показывает адрес источника (внутренний адрес устройства), который транслируется.

 NAT: s = 171.68.200.48-> 172.16.47.161, d = 172.16.47.177 [406] 

Здесь преобразуется адрес назначения (внешний локальный адрес внешнего устройства).

 NAT: s = 172.16.47.161, d = 172.16.47.177-> 171.68.200.48 [406] 

После трансляции IP-пакет выглядит так:

 IP: s = 172.16.47.161 (Serial0), d = 171.68.200.48 (Serial1), g = 172.16.47.145, len 100, вперед Тип ICMP = 8, код = 0 

Следующие выходные данные показывают адрес источника (адрес внешнего устройства), транслируемый в ответном пакете.

 NAT *: s = 171.68.200.48-> 172.16.47.177, d = 172.16.47.161 [16259] 

Теперь адрес получателя (внутренний глобальный адрес устройства) возвращаемого пакета преобразован.

 NAT *: s = 172.16.47.177, d = 172.16.47.161-> 171.68.200.48 [16259] 

После трансляции пакет возврата выглядит так:

 IP: s = 172.16.47.177 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед Тип ICMP = 0, код = 0 

Обмен пакетами продолжается между внутренним устройством и внешним устройством.

 NAT: s = 171.68.200.48-> 172.16.47.161, d = 172.16.47.177 [407] NAT: s = 172.16.47.161, d = 172.16.47.177-> 171.68.200.48 [407] IP: s = 172.16.47.161 (Serial0), d = 171.68.200.48 (Serial1), g = 172.16.47.145, len 100, вперед Тип ICMP = 8, код = 0 NAT *: s = 171.68.200.48-> 172.16.47.177, d = 172.16.47.161 [16262] NAT *: s = 172.16.47.177, d = 172.16.47.161-> 171.68.200.48 [16262] IP: s = 172.16.47.177 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед Тип ICMP = 0, код = 0 NAT: s = 171.68.200.48-> 172.16.47.161, d = 172.16.47.177 [408] NAT: s = 172.16.47.161, d = 172.16.47.177-> 171.68.200.48 [408] IP: s = 172.16.47.161 (Serial0), d = 171.68.200.48 (Serial1), g = 172.16.47.145, len 100, вперед Тип ICMP = 8, код = 0 NAT *: s = 171.68.200.48-> 172.16.47.177, d = 172.16.47.161 [16267] NAT *: s = 172.16.47.177, d = 172.16.47.161-> 171.68.200.48 [16267] IP: s = 172.16.47.177 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед Тип ICMP = 0, код = 0 NAT: s = 171.68.200.48-> 172.16.47.161, d = 172.16.47.177 [409] NAT: s = 172.16.47.161, d = 172.16.47.177-> 171.68.200.48 [409] IP: s = 172.16.47.161 (Serial0), d = 171.68.200.48 (Serial1), g = 172.16.47.145, len 100, вперед Тип ICMP = 8, код = 0 NAT *: s = 171.68.200.48-> 172.16.47.177, d = 172.16.47.161 [16273] NAT *: s = 172.16.47.177, d = 172.16.47.161-> 171.68.200.48 [16273] IP: s = 172.16.47.177 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед Тип ICMP = 0, код = 0 NAT: s = 171.68.200.48-> 172.16.47.161, d = 172.16.47.177 [410] NAT: s = 172.16.47.161, d = 172.16.47.177-> 171.68.200.48 [410] IP: s = 172.16.47.161 (Serial0), d = 171.68.200.48 (Serial1), g = 172.16.47.145, len 100, вперед Тип ICMP = 8, код = 0 NAT *: s = 171.68.200.48-> 172.16.47.177, d = 172.16.47.161 [16277] NAT *: s = 172.16.47.177, d = 172.16.47.161-> 171.68.200.48 [16277] IP: s = 172.16.47.177 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед Тип ICMP = 0, код = 0 

Когда обмен пакетами между внешним и внутренним завершен, мы можем посмотреть таблицу трансляции, в которой есть три записи.Первая запись была создана, когда внутреннее устройство отправило DNS-запрос. Вторая запись была создана при переводе полезной нагрузки ответа DNS. Третья запись была создана при обмене эхо-запросом между внутренним и внешним устройством. Третья запись представляет собой краткое изложение первых двух записей и используется для более эффективных переводов.

 Router-A #  показать переводы ip nat  Pro Внутри глобально Внутри локально Вне локально За пределами глобального --- 172.16.47.161 171.68.200.48 --- --- --- --- --- 172.16.47.177 171.68.200.48 --- 172.16.47.161 171.68.200.48 172.16.47.177 171.68.200.48 

Важно отметить, что когда вы пытаетесь установить соединение между двумя перекрывающимися сетями с помощью динамического NAT на одном маршрутизаторе Cisco, вы должны использовать DNS для создания внешнего локального преобразования во внешнее глобальное. Если вы не используете DNS, подключение может быть установлено с помощью статического NAT, но им труднее управлять.

.

Смотрите также