Безопасность : Серия Сisco-совместимых сетевых экранов IntraGuard

Технические примечания по Совместимым Системам: Отображение NAT и разрешение адресов в DNS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (6 ноября 2015) | Отзыв


Содержание


Введение

Реализация NAT Компэтибла не позволяет NAT, Планирующий тот же интерфейс. То, что это означает, - то, что, если рабочая станция на внутреннем диапазоне хочет достигнуть другого устройства на том же внутреннем диапазоне, это, MUST использует внутренний адрес другого устройства. Это не может использовать NAT другого устройства Сопоставленный внешний адрес.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Затрагиваемые продукты

1200i, 1220i, 1250i, 1270i, 2600i, 2200R, 2220R, 2250R, 2270R, 3500R, 4000, VSR-2, VSR-8, IntraPort 1, IntraPort 2, IntraPort 2 +, предприятие IntraPort 2, предприятие IntraPort 8, несущая IntraPort 2 и несущая IntraPort 8

Затрагиваемые версии

Все версии

Дополнительная информация

Например, рабочая станция 1 10.10.10.10 и рабочая станция 2 10.10.10.20 находятся на том же концентраторе. Рабочая станция 2 также имеет NAT, Сопоставляющий 10.10.10.20-> 204.144.171.20 через Совместимое устройство. Из Интернета все обращаются 204.144.171.20 и добираются до 10.10.10.20. Рабочая станция 1 не может обратиться 204.144.171.20 вообще. Причина состоит в том, что реализация NAT Компэтибла делает Сопоставление NAT и обнаруживает, что source IP находится в той же сети как IP - адрес назначения, таким образом, это не должно направлять его и отбрасывает пакет. Его объяснение, "Почему делает 10.10.10.10 не, просят 10.10.10.20 непосредственно, так как они находятся в той же сети?"

Таким образом, никакое внутреннее устройство не может использовать Сопоставление NAT для достижения другого внутреннего устройства. Они должны использовать внутренний адрес другой рабочей станции для достижения его.

Типичная проблема - то, что www.mymail.com решает к 204.144.171.20 и все внутренние устройства, которые пытаются использовать то Разрешение DNS в их почтовой настройке, не быть в состоянии достигнуть его. Они должны вручную вставить адрес 10.10.10.20 как их почтовый сервер для него для работы.

Это всегда хорошо работает для статических рабочих станций на внутренней сети, но что относительно портативных ПК, которые соединяются и на работе и через Интернет? Они должны продолжать коммутировать настройку своей почтовой программы? Это может быть решено с введением внутреннего сервера DNS на внутренней сети. Затем все устройства на внутренней сети располагаются использование что новый внутренний сервер DNS как их Основной сервер DNS. Использование DHCP для присвоения того основного Адреса DNS также полезно. Когда делается запрос для www.mymail.com, это отвечает 10.10.10.20. Таким образом на внутренней сети, портативный ПК делает запрос внутреннего сервера DNS и добирается 10.10.10.20. В то время как на внешней сети (Интернет) это делает запрос сервера DNS интернет-провайдера, и они добираются 204.144.171.20, как был бы остальная часть мира.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 17676