如何在拥有不同nat池的2个专用网络之间配置snat？

Question

嗨，我在这个网络上的当前配置有一些问题。

我有两个nat池，一个用于蓝方路由器，另一个用于黄色路由器。我使用snat在每个“分支”(蓝色->波士顿，黄色->里斯本)中有一个主路由器和备用路由器。

nat翻译很好，我可以从蓝色方格上的pc机切换到黄色方块的主路由器，反之亦然，但我不能在pc机之间切换甲虫。

下面是我目前使用的主要蓝色/波士顿路由器的配置：

interface FastEthernet0/0.1
 encapsulation dot1Q 2010
 ip address 10.64.64.1 255.255.240.0
 ip nat inside
 ip virtual-reassembly in

interface FastEthernet1/0
 ip address 200.1.1.128 255.255.254.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto

ip nat Stateful id 21
 primary 10.64.64.1
 peer 10.64.64.2
 mapping-id 10

ip nat pool BOSTONPOOL 200.1.1.130 200.1.1.254 netmask 255.255.254.0
ip nat inside source list 1 pool BOSTONPOOL mapping-id 10 overload
ip route 10.32.0.0 255.224.0.0 200.1.1.0
access-list 1 permit 10.64.0.0 0.31.255.255

我在黄色主路由器中也有相同的配置(有不同的池，等等)。在辅助路由器中，我有一个类似的配置，只将主路由器更改为备份，以及对等地址。

还需要注意的是，我在路由器中有到另一个专用网络的静态路由，在这个例子中，在波士顿路由器中，我通过里斯本路由器的地址有一个静态网络到里斯本网络。

Answer 1

“nat翻译工作得很好，我可以从蓝色方格的pc机切换到黄色方块的主路由器，反之亦然，但我不能在pc机之间切换甲虫。”

这是正确的，因为您正在使用NAPT。如果您从内部发起通信，例如来自蓝色框中的主机，则流量通过的蓝色路由器将创建一个NAT表条目，以便返回通信可以返回到原始主机。黄色路由器将没有NAT表条目，因此来自蓝色框中主机的流量将被指定为黄色路由器的地址，而黄色路由器则不是黄色框中的主机。为此，您需要创建一个静态NAT表条目，但是您只能为每个传输协议和传输地址创建一个。

你在NAPT中遇到了一个弱点，它破坏了端到端连接的IP前提。

我有两个nat池，一个用于蓝方路由器，另一个用于黄色路由器。

实际上，您有四个路由器，每个路由器都有不同的NAPT池，它们不能共享池。每个路由器实际上将有三个NAPT池和表；一个用于TCP、UDP和ICMP。蓝色主路由器上的TCP NAPT表和池与TCP NAPT表和蓝色辅助路由器上的池不共享。这可能会导致问题，如果您有非对称路由。

Answer 2

纳特不能像罗恩指出的那样在那种情况下工作。

为了为IPv4提供端到端的连接，需要一个隧道.隧道允许您在Internet上传递私有地址的数据包(由公开地址的数据包封装)。IPsec隧道应该是首选的，因为它也加密隧道通信量。