inside source/destination和outside source/destination区别详解

首先扔几条命令:

ip nat inside source static 1.1.1.1 2.2.2.2

ip nat inside destination list 1 pool roc

ip nat outside source static 2.2.2.2 1.1.1.1

ip nat outside destination list 2 pool aking

解析以上几条命令:

 把从inside接口进入,从outside接口出去的数据包源地址1.1.1.1转换为2.2.2.2

 把从inside接口进入,从outside接口出去的数据包list 1中目的地址转换为pool roc中地址;

 把从outside接口进入,从inside接口出去的数据包源地址2.2.2.2转换为1.1.1.1

 把从outside接口进入,从inside接口出去的数据包list 2中的目的地址转换为pool aking中地址;

 

 如果你觉得以上的解析可笑的话~那么以下的文章你就没必要看了~因为你的水平比我高多了~

 如果你觉得以上的解析很有道理的话~那么接下来还是跟我好好学习一下inside source,inside destination和outside source,outside destination之间的区别吧~~

 

1) 首先,我们看一下NAT中的四种地址:

 

inside local address,内网中设备所使用的IP地址，此地址通常是一个私有地址；

inside global address,公用地址，通常是ISP所提供的，由内网设备与外网设备通信时所使用到；

outside local address,外网中设备所使用的地址，这个地址是在面向内网设备时所使用的，它不一定是一个公网地址；

outside global address,外网设备所使用的真正的地址；

2) 接着,我们看一下NAT中的转换方式:

 

从内网中设备上发出的IP包是以”inside local address”作为源地址，以”outside local address”作为目的地址。当数据包到达NAT设备的”inside”接口后，地址分别被翻译成”inside global address”和”outside global address”并从”outside”接口送出。

 外网设备上发出的IP包以”outside global address”作为源地址，以”inside global address”作为目的地址。当数据包到达NAT设备的”outside”接口后，地址分别被翻译成”outside local address”和”inside local address”并从”inside”接口送出。

 

3) 接着,看一下图,加深理解;

 

 

4) 接着,看一下权威文档对ip nat作用的解析:

 ip nat inside source       

 功能1：将从内到外的IP包的源地址进行转换（将内部局部地址转换为内部全局地址）         

 功能2：将从外回包到内的IP包的目的地址进行转换（将内部全局地址转换为内部局部地址）

 ip nat outside source             

 功能1：将从外到内的IP包的源地址进行转换（将外部全局地址转换为外部局部地址）

 功能2：将从内回包到外的IP包的目的地址进行转换（将外部局部地址转换为外部全局地址）

 ip nat inside destination          

 功能1：将从内到外的IP包的目的地址进行转换（将外部局部地址转换为外部全局地址）          

 功能2：将从外回包到内的IP包源地址进行转换（将外部全局地址转换为外部局部地址）

 ip nat outside destination

功能1：将从外到内的IP包的目的地址进行转换（将内部全局地址转换为内部局部地址）        

功能2：将从内回包到外的IP包目的地址进行转换（将内部局部地址转换为内部全局地址）

 5)呵呵,看到权威写的后,是不是又有点迷糊了~~那好,看一下我的解释吧;

ip nat inside source:

将内部局部地址转换为内部全局地址;

数据方向inside->outside,在outside上执行转换;

ip nat outside source:

将外部全局地址转换为外部局部地址;

数据方向outside->inside,在inside上执行转换;

ip nat inside destination:

将内部全局地址转换为内部局部地址;

数据方向outside->inside,在outside上执行转换

ip nat outside destination:

将外部局部地址转换为外部全局地址;

数据方向inside->outside,在inside上执行转换

6) 接着看一下NAT转换表的触发点所在接口:

inside source看成inside作为源,那么出触点就是在inside接口;

inside destination看成inside作为目的,那么触发点就是在outside接口;

outside source看成outside作为源,那么触发点就是在outside接口;

outside destination看成outside作为目的,那么触发点就是在inside接口;

 7) 总结一下:不要IP nat X Y list 1 pool pool中的X Y分开来看,因为X Y就是一个整体,其代表的意思是NAT范围的四种地址,即内部局部地址,内部全局地址,外部全局地址,外部局部地址;

 8)最后:看一些经典的列子:

第一种情况:翻译内网机器的地址

 

 

内网地址是 10.10.10.x 网段的地址，外网地址是 171.16.68.x 的地址。路由器行使 NAT 功能，它的 S0 口接内网， S1 口接外网。

内网的设备 10.10.10.1 需要和外网通信，它所使用的外网地址是 171.16.68.5; 换句话说，当路由器从外网收到一个去 171.16.68.5 的数据包时，它知道要数据包实际是要送给 10.10.10.1 的。我们看到，由于外网地址和内网地址没有冲突，因此对外网设备 171.16.68.1 来说，它的地址不需要再做翻译了，即 outside local address 等于 outside global address. 这种情况包括了大部分的 NAT 应用，即只翻译 inside 方地址，而不需要翻译 outside 地址。

NAT 设备中应该维护一张类似于下表的地址映射：

 

Inside Global

 

Inside Local

 

Outside Local

 

 

Outside Global

171.16.68.510.10.10.1171.16.68.1171.16.68.1

 

 

第二种情况是翻译外网机器的地址，这种方式并不常用，因为这样会导致私有地址路由泄漏到公网上。但这个例子可以加深对 NAT 的理解。

这里 NAT 设备对外网进来的包的源地址做翻译，翻译成与内网地址在同网段的地址。即外部机器 172.16.68.1 在内部机器看来是 10.10.10.5

 

 

Inside Global

 

Inside Local

 

Outside Local

Outside Global

10.10.10.110.10.10.110.10.10.5171.16.68.1

 

 

 

第三种情况:对内网机器和外网机器都要做地址翻译，此时通常两部分的地址有冲突或重叠。因此 NAT 设备对数据的源和目的都做了地址翻译。在这种情况下，双方看到的地址都不是对方的真实地址。

 

Inside Global

 

Inside Local

 

Outside Local

 

Outside Global

171.16.68.510.10.10.110.10.10.5171.16.68.1