没有到主机的路由_NAT和路由,谁先谁后,你真的搞懂了吗?

最新推荐文章于 2023-06-21 16:29:27 发布
最新推荐文章于 2023-06-21 16:29:27 发布
阅读量394 收藏 1
点赞数 1
文章标签: 没有到主机的路由

弈心:从事计算机网络工作十年(新加坡7年,沙特3年),2013年考取CCIE,在新加坡先后任职于AT&T,新加坡交通部,苹果,Equinix,苏格兰皇家银行等大型企业、银行和政府部门。 目前供职于“世界第一土豪大学“沙特阿卜杜拉国王科技大学(KAUST),担任Senior Network Engineer,为KAUST校史上第一位也是唯一一位华人IT部门高级职员。2019年6月在知乎发布了华语圈第一本专门为编程零基础的网络工程师量身打造的Python教程《网络工程师的Python之路》。

在我迄今10年的网络从业生涯中,参与过不计其数的网络设计和运维项目,项目规模大大小小的都有,接触过无数和NAT相关的配置和排错,什么静态NAT、动态NAT、端口映射还有PAT在不同厂商的设备上都实操过(思科的居多)。 我发现一个问题:虽然作为每一位网工必修课的NAT技术很常用,大多数网工都会照着厂商给的配置手册或者设备上现成的running config改配置,但是真正钻研过这项技术,遇到问题时会排错的人真的不多。

在技术面试环节中有一道题我是必问的:一台配置了NAT的思科路由器是先执行路由选择(Routing),还是先执行NAT? 我听到过的答案五花八门,至今没有一个人能给我一个完全正确的回答。

在给出正确答案之前,我先出一道题:

问题背景:

某公司A和某公司B最近开始有业务往来,要求公司A的主机192.168.11.1和公司B的主机192.168.44.4能够通信。网络拓扑如下

2940555375b169be80e87528e479ffe6.png

由于公司A和公司B的内网都是用192.168.0.0 /16网络,这里必须用NAT来解决主机A到主机B的通信问题。因为公司B没有驻场网络工程师,所以负责这个项目的公司A的网工选择在自家公司的路由器R2上配置NAT(这里默认R1,R2,R3,R4都是跑IOS的思科路由器)。NAT配置的要求如下:

  • 公司A的192.168.11.1(主机A)在进入公司B的内网前,需要在R2上被转换成172.16.23.1
  • 公司B的192.168.44.4(主机B)在进入公司A的内网前,需要在R2上被转换成192.168.1.4

根据上述需求,公司A的网工在R2上完成了配置,现在R2的NAT配置以及R2的路由表如下:

37efec0ed25ceb6643481ffbab9e8cf0.png

配置完成后,经测试,在主机B上始终无法ping通主机A。在R2上开启debug ip nat detailed和sh ip nat translations后得到的结果如下:

b3def07116ae9807b1e3a682b9456b5b.png

问题:

R2上的NAT配置正确,但是为什么主机A、B通信失败?(看下面的答案前,希望你可以先自己尝试能否给出准确答案)

答案(含完整解答思路):

给出正确答案前,首先回到本文最开头提到的问题:一台配置了NAT的思科路由器是先执行路由选择(Routing),还是先执行NAT?

对思科的IOS设备来说(注意此处敲黑板,划重点):

  • 如果流量从Inside端口进来,那么先执行路由,后执行NAT(本地 到 全局)。
  • 如果流量从Outside端口进来,那么先执行NAT(全局 到 本地),后执行路由。

顺着这个思路,首先再回顾以下需求:

  • 公司A的192.168.11.1(主机A)在进入公司B的内网前,需要在R2上被转换成172.16.23.1
  • 公司B的192.168.44.4(主机B)在进入公司A的内网前,需要在R2上被转换成192.168.1.4

在主机B上ping主机A,当192.168.44.4到达R2时触发下面这条NAT配置:

7f08ccc67024d53187e4d3473698cd7a.png

很明显,这时192.168.44.4是从Outside端口(即R2的fa0/1)进来,R2先执行全局 到 本地的NAT,将192.168.44.4转换成192.168.1.4,NAT完成后,然后再执行路由,这里没有任何问题,R2顺利将源地址已经被转换为192.168.1.4的主机B的ping包传给了它的目的地IP 172.16.23.1, 即主机A(不要忘了对B来说,A的地址为172.16.23.1,不是192.168.11.1)。

当A收到B的ping包后,A自然会回传一个icmp echo reply包给B, 此时A回传给B的包源地址和目的地址如下:

Source: 192.168.11.1

Destination: 192.168.1.4

当A的流量通过R1到达R2的Inside端口(即R2的fa0/0)时,会先被R2执行路由,R2这时发现A想去的目的地址192.168.1.4正好匹配自己路由表里的下面这条直连路由:

fe8c47e71f1e8bf03eff19218e5b556d.png

看回上面的拓扑,192.168.1.0 /24正好是R2和R1的直连网段,正因如此,主机A回传给主机B的icmp echo reply包随即因为无人响应而被R2丢弃!!!

整个过程和思路可以用下图概括:

2092cf807cc2965b81a64764fbab828e.png

解决方案及思路:

这个问题的解决方案很简单,既然是因为R2上的192.168.1.0 /24这条直连路由在作怪,那我们就利用最长匹配原则,另外手动写一条到192.168.1.4的/32的静态路由来覆盖这条/24的路由就可以了。

5a8bbd1b5e301fd309690644c06f0d69.png

此时R2在收到目的地址为192.168.1.4的包时,会将它传给172.16.23.3,也就是R3直连R2的端口,此时B可以ping通A了,问题完美解决。

问题解决后,整个过程和思路可以用下图概括:

2b6a90c25e3f39f7ccf997e7c59d9d20.png
weixin_39542889
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
有关nat路由后顺序
weixin_34148456的博客
10-20 2932
[原]有关NAT路由之间的后顺序 在自己的拓扑中,从inside的pc上ping单个包测试, 前端配置了NAT路由器上,debug ip pack, debug ip nat 输出:*Mar 1 01:28:32.728: IP: tableid=0, s=172.16.8.5 (Ethernet0/0), d=63.19.6.1 (Ethernet1/0),...
NAT地址转换顺序:inside→outside路由再转换;outside→inside转换再路由
zainwei1766的专栏
12-09 1万+
如下多级联NAT路由拓扑图: 多级路由NAT与单个路由NAT一样的。对于下行路由器来说,它只不过是上行路由器(外网)中的局域网“PC”而已。由于默认路由的作用,即使不做NAT任何目标IP都可以出去。但目标PC回复时由于没有目标IP路由可达,而做NAT后,目标PC回复时的目标IP是NAT路由器的出品IP,之后利用端口区别还原转换到NAT路由器下行IP。 路由器做NAT,inside→
在VMware ESXi服务器上配置NAT上网
来瓶小白干Oo的博客
08-26 9995
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、vSphere Client上操作1. 配置网络环境2. 创建软件路由3. 虚拟机设置二、使用步骤1.引入库2.读入数据总结 前言 在使用VMware workstation的时候,我们经常以NAT的方式配置虚拟机的网络,与桥接方式相比,这样配置可以让虚拟机共享主机的网络而不用单独设置IP。到了ESXi,由于其使用了vSwitch作为网络交换设备,因此没有NAT这样的选项了。但在实际环境中,我们还是经常会遇到IP不够用的情
桥接与NAT最简描述
qq_34028001的博客
05-28 451
想用虚拟机应用linux,并联网,会经常遇到到底是用桥接法,还是NAT法。 要明白两者区别: 了解下网关的意义: 家里有网络的都是用路由器,要连网要连到路由器上就行,这中间的链接路径叫做网关:192.168.x.1 这个是电脑网卡连到路由器的网关。 而虚拟机中的网络要联网也需要连接路由器(非专业说法,但直观上理解成自家的路由器就行)。 这就要涉及桥接和NAT的区别: 桥接是和自己电脑的网卡是一致的,要求和主机IP设置一致192.168.x.y,x要和主机一样,y和主机不能相同,而网关都是192.168.
虚拟机联网问题总结-VMWare桥接、NAT模式、仅主机模式解释与配置
Alezan的博客
04-09 9448
前言 今天搞实验把工作环境搬来搬去的过程中,把带着VM环境的移动硬盘弄掉了好几次,VMWare里面的虚拟机终于不堪折磨宕机掉了,磁盘文件损坏。还好之前留了快照可以恢复(所以定期备份快照很重要,特别是重要,配置了很多东西的虚拟机,不是说重装就重装的)。 然后切换工作环境,网络环境变更啥的,搞得脑子晕了,一时上不了网就直接把虚拟机网络编辑里面的东西全重置了。重置就重置吧,重新配置呗。问题就是以前配过的东西全忘光了。果然工作不总结的话就会出现重复工作,一个问题没记住解决方案就会导致一直是问题。。 借此机会把虚拟机
关于 VMware虚拟机在NAT模式下,如何配置网络连接之简单易懂的过程。
好好读书
04-08 1万+
VMware虚拟机:简单的NAT模式下配置网络
策略路由路由NAT的顺序
weixin_33898876的博客
02-25 1140
Inside-to-Outside •If IPSec then check input access list •decryption - for CET •check input rate limits •input accounting •policy routing •routing •redirect to web cache...
NAT路由的选择
weixin_33711647的博客
01-26 360
话说我刚刚入IT这个行当的时候(that would be 15 yrs ago),单位的网络应用还十分的简单,硬件不过几台交换机还都是杂牌的,还都是非智能的,软件应用如果有也是单机版的,财务电算化是个能够拿得出手的应用。当时我的工作只有两大块:让单位的办公室PC能够上网,让单位的网站有内容、让外界能够看到这个网站。除了网站的服务器运维(PC+ FREEBSD + APACH...
面试题—数据包在边界路由器上进出内网,是路由,还是NAT
qq_44667101的博客
05-21 987
主机A(内网)访问外网时,来回的数据包在经过边界路由器时,是路由还是NAT? 首主机A假如要去访问主机B,必然是需要经过路由器的转发。 同理当A(内网)去访问外网时,也是需要经过路由器的转发路由,再经过NAT将私网地址转为公有地址去访问外网; 然后当外网去访问内网时,则需要NAT将公有地址转为私有地址,才能进行在内网中的路由转发。 ...
华为路由NAT经典配置
热门推荐
十里平湖的博客
12-28 9万+
转载自: http://blog.sina.com.cn/s/blog_b43562400101hydf.htmlNAT概述NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。私有网络地址和公有网络地址 私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址
完全开源免费路由器VyOS基础上网配置NAT-DHCP-路由.doc
03-12
VyOS 路由器基础上网配置 NAT-DHCP-路由 VyOS 路由器是一款完全开源免费的路由器解决方案,提供了灵活强大的网络路由功能。本文档将指导您如何配置 VyOS 路由器实现 NAT-DHCP-路由功能。 VyOS 路由器基本配置 ...
NAT与策略路由.pptx
07-12
当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 这种方法需要在专用网连接到因特网的路由器上安装...
路由NAT配置.doc
02-19
路由NAT配置.doc 本文档主要介绍了路由器的NAT(Network Address Translation,网络地址转换)功能的配置。NAT功能可以解决IP地址短缺的问题,使多个内部网络用户可以共用一个合法的IP地址与外部Internet进行通信。...
通信与网络中的关于交换路由技术交换机策略路由的应用
11-10
一、网络拓扑  办公网为172网段,其核心交换机为85-1,由NE-1做NAT通过网通上... 此需求看起来很简单,即通过策略路由,使部分用户上网的下一跳到S85-1上,通过NE-1出去。但是仔细分析具体的实现,还是有很多要考
路由与交换第八章.docx
08-15
1 NAT的地址翻译类型有下面哪些? (2.0分) • A、 静态NAT(Static NAT) • B、 动态地址池NAT(Pooled NAT) • C、 网络地址端口转换NAPT(Port-Level NAT) • D、 以上均正确
VMware Workstation网络连接的三种方式原理详解与配置过程图解
最新发布
meser88的博客
06-21 1万+
打开vmware虚拟机,我们可以在选项栏的“编辑”下的“虚拟网络编辑器”中看到VMnet0()、VMnet1(仅主机模式)、VMnet8(NAT模式):VMnet0表示的是用于桥接模式下的虚拟交换机;VMnet1表示的是用于仅主机模式下的虚拟交换机;VMnet8表示的是用于NAT模式下的虚拟交换机。同时,在主机上对应的有VMware Network Adapter VMnet1和VMware Network Adapter VMnet8两块虚拟网卡,它们分别作用于仅主机模式与NAT模式下。
没有主机路由_网络基础知识:TCP协议之跟踪路由
weixin_39904612的博客
12-08 752
一次性付费进群,长期免费索取教程,没有付费教程。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-network当目标主机禁止ping时,就无法通过ICMP请求包进行路由跟踪。这时可以借助TCP协议实施跟踪。可以使用netwox工具提供的相关模块发送TCP包,与目标主机连接...
linux主机路由和网络路由,Linux网络管理之路由和team网络组
weixin_35949064的博客
05-04 393
如何实现把linux当路由器来使用,实现不同网段之间的通信访问,这就是今天所要实现的路由配置环境准备:4台虚拟机,两台中间两台作为路由器来使用(每天主机两块网卡),其他两台作为终端主机,目的是让不同网段的两台主机之间互相访问(这里在vmware里面做的实验,所以网卡的类型都设置为桥接)拓扑图:步骤一:将A、D两台主机配置网关(主机路由),使其两台主机能够与B、C路由器中的主机互相通信A主机地址配置...
没有主机路由_路由选择过程是怎样的 路由选择原理介绍【图文】
weixin_39654058的博客
11-24 264
  路由选择,路由选择过程和原理是什么?  路由选择是发生在互联网络(如通过路由连接的独立网络)上的数据分组转发过程,如下图所示。当主机发送数据分组时,它或者是对于同一网络上的本地主机或者是对于远程网络上的主机。如果数据分组没有本地IP网络地址,则主机将它发送到默认路由器,该路由器再将它转发到其他网络。  下图中的网络较为复杂。它包括一个提供多路由路径的相互连接的网络组成的网状网。尽管每个路由器...
docker容器无法访问到外部其它主机,使用sudo iptables -t nat -L在容器的宿主机上查看路由信息时看不到docker的路由,需要怎么设置?
06-08
如果你使用的是Docker的默认网络模式,那么容器是使用NAT方式连接到宿主机的,它们共享宿主机的网络接口。因此,你需要在宿主机上进行配置,使得Docker容器可以访问外部主机。 具体来说,你可以尝试以下操作: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值