什么是permit-inside功能

若内网有一台服务器映射成为一个公网IP地址,并且将该公网IP注册至一个域名中。此时内网用户通过直接输入域名访问该服务器,域名服务器将该服务器的地址解析为已经注册的公网IP地址。默认情况下,当内网用户通过公网地址来访问该服务器时,路由器将认为该流量为正常的穿越流量,因此将为该流量做正常的源地址转换;而在做源地址转换之前,由于检查到该公网IP与外网口在同一网段,因此在做源地址转换前需要预先发送ARP请求来解析该公网IP的MAC地址;但由于实际外网口网段中不存在一台配置为该IP的终端,ARP请求将始终得不到响应,因此源地址转换也将失败。最终,内网用户访问该服务器公网地址的现象为:路由器上无相关转换表项,只在出口发出ARP请求,并且内网用户得不到任何数据应答。此时就需要配置permit-inside功能。

当路由器上配置了permit-inside功能,如下:

ip nat inside source static tcp 192.168.1.254 23 10.0.0.1 23 permit-inside

此时,在内网192.168.1.2上telnet 10.0.0.1,在路由器上查看转换表项如下:

RSR50-40#sh ip nat tran

Pro Inside global      Inside local       Outside local      Outside global

tcp 10.0.0.1:1046      192.168.1.2:1046   10.0.0.1:23        192.168.1.254:23

当配置了permit-inside功能后,路由器对相应数据包的源、目IP都进行了转换

 

源IP地址

目的IP地址

转换前

192.168.1.2:1046

10.0.0.1:23

转换后

10.0.0.1:1046

192.168.1.254:23

 

posted @ 2018-02-03 09:43  裴鹏飞  阅读(1477)  评论(0编辑  收藏  举报