Терминология Cisco NAT

Нашел отличный ответ на вопрос: “в чем разница команд ip nat inside и ip nat outside?”

 

Маршрутизатор делит всю сеть на две части: INSIDE и OUTSIDE.
Это разделение задаётся командами на интерфейсах маршрутизатора:

(config-if)#ip nat inside
(config-if)#ip nat outside

Адреса всех устройств в сети, подключённой к первому интерфейсу будут с точки зрения маршрутизатора INSIDE, ко второму – OUTSIDE.

INSIDE LOCAL – это реальный IP-адрес сетевого устройства в сети INSIDE.
OUTSIDE GLOBAL – это реальный IP-адрес сетевого усвтройства в сети OUTSIDE. Читать

NAT: Ничего не бывает столь постояным, как временное.

Эпиграф

Хорошее резюме проблемы NAT сделали Google: “NAT devices, increasingly popular in homes and offices, allow multiple machines to share a single Internet address. Consequently, it becomes more and more difficult for applications such as voice chat, which require peers to directly address each other, to make a peer-to-peer connection reliably.” (NAT-устройства, популярность которых растет в домах и офисах, позволяют нескольким машинам совместно использовать один интернет-адрес. В результате таким приложениям как голосовой чат, требующим прямой адресации сторон, все сложнее и сложнее создавать надежные соединения точка-точка.)

История NAT

Сначала несколько слов об истории появления необходимости в проксировании / гейтировании / туннелировании в интернете, тогда яснее станут возможности разных подходов и их “иерархия”. Как известно, нехватка IP-адресов в 4-байтовом адресном пространстве прогнозировалась еще в начале 90х годов (плюс нехватка денег на аренду адресных блоков в некоторых компаниях). Поэтому уже в марте 1994 г договорились об адресном “сегментировании” общего пространства — выделении для локальных сетей отдельных диапазонов IP-адресов и исключение этих IP-адресов из использования в интернете (http://www.ietf.org/rfc/rfc1597.txt March 1994 Address Allocation for Private Internets; цитата о назначении этого документа “Авторы надеются, что использование этих методов приведет к значительной экономии при выделении IP адресов”). Это решение позволило выделять компаниям небольшие блоки IP-адресов — для их интернет-серверов, а внутри ЛС IP-адреса для собственных нужд выделялись самими компаниями из диапазонов для локальных сетей. В результате интернет-серверы компаний (почтовые и www/ftp) были легко доступны как из интернета, так и из ЛС, и внутри ЛС компьютеры без проблем связывались по таким же IP-протоколам. Но это решение воздвигло барьер между локальными сетями и интернетом: т.к. один и тот же IP-адрес мог использоваться в разных ЛС, и т.к. по этой причине в интернете перестали маршрутизировать пакеты на адресные блоки, выделенные для ЛС. Т.е. фактически “физический барьер” (без перерубаний проводов, чем развлекались в российских банках после первых взломов, и без установки FireWall, чем увлекаются сейчас). Сети стали изолированными, как изолированы задачи в современных операционных системах — у каждой своё адресное пространство. Этот барьер не представлял проблемы для почты, т.к. почтовые серверы предприятий ставились на границе сетей и были видимы и из интернета, и из ЛС. А вот с доступом из ЛС к внешним ресурсам — к ftp и еще только набирающим в те годы популярность http-серверам начались проблемы. Если раньше с любого компьютера можно было напрямую взаимодействовать с сервером, то теперь эта возможность осталась у компьютеров только с реальными интернет-адресами, т.к. в какую ЛС слать ответ на IP-пакет, у которого в обратном адресе стоит локальный IP — роутер определить не сможет.
Читать