SR8800的NAT特性妙用
一、 组网:
用户采用两台SR8800接入组网,这两台SR8800分别从网通和电信运营商接入,都做地址转换上互联网。用户要求实现内网的用户主机访问互联网上电信的资源时从连接电信的SR8800上做地址转换出去,访问互联网上网通的资源时从连接网通的SR8800上做地址转换出去。为了实现上述要求,用户在连接网通的路由器上配置了到网通的静态路由表,在接连电信的路由器上配置了到电信的静态路由表项,并通过动态路由协议发布到核心交换机,最终的选路由核心交换机来完成。用户内网还有服务器需要从网通出口映射到互联网上去以提供对外服务。如下图所示:
二、 问题描述:
在网通路由出口做了内网服务器的对外映射后,互联网上网通用户通过访问映射的公网IP地址可以访问到内部服务器的服务,而互联网上电信用户通过访问这个公网IP则无法访问到内部服务器的服务。
三、 过程分析:
由于互联网上网通用户访问该服务器的服务正常,在此不作分析。这里主要分析互联网上电信用户访问该服务器的流程。互联网上电信用户通过互联网上的路由将数据报文送达连接网通SR8800路由器的出口,根据该设备上的内部服务器的映射配置,将映射的公网IP地址转换为内部服务器的私网IP地址,再根据设备的路由信息将数据报文送达到服务器。服务器将数据报文返回给电信用户时,在核心交换机上选路时就将该报文送到连接电信的SR8800路由器上,在该路由器上根据路由信息及NAT转换配置,将报文的源地址(内部服务器的地址)转换为电信的地址,从电信的出口发出去。再通过互联网路由送达到电信用户的主机上,电信用户的主机访问的是网通的公网IP地址,而返回的报文是由电信的IP返回,用户的主机会将此报文丢弃,从而导致用户无法访问服务器上的服务。数据走向流程如图所示:
四、 解决方法:
从上述的分析可以看出,只要保证了服务器返回的数据报文按原路径返回就可以解决电信用户无法访问服务器的问题。为了保证服务器按原路径返回报文,常见的解决方法就是通过策略路由(重定向)来强制服务器的报文从网通接口发出。由于用户组网采用了两台SR8800来接入互联网,由核心交换机来做路由选择,因此策略路由的配置需要分别在核心交换机和连接网通的SR8800上做。由于策略路由网络自适应能力差,这样一来不但增加了用户维护工作,还增加了维护的难度。
如果在此情况下采用SR8800的NAT的Inbound特性时,可避免繁琐的策略路由配置。解决思路:
互联网上的用户(不再区分网通还是电信)通过互联网上的路由到达连接网通SR8800路由器的出口,做此接口做一个入方向的地址转换。将访问内部服务器的用户IP地址转换为一个没有使用过的私网IP地址,并将此私网地址通过动态路由协议发布到内网各设备上,此时送到服务器的报文的源地址不再是互联网上的公网地址,而是转换后的私网地址,服务器将报文返回给此私网地址,即将该报文送到连接网通的SR8800路由器上,路由器再根据NAT会话表项以及路由表项将报文的源地址转换成服务器映射的公网地址,将目的地址转换成用户IP地址,再从网通的出口发送出去。最后根据互联网上的路由将该报文送达到用户主机上,互联网的用户就可以访问内网的服务器了。数据报走向流程如图所示:
关键点配置:
全局下的地址池配置:
nat address-group 100 192.168.1.1 192.168.1.10
到服务器的ACL配置:
acl number 3000
rule 0 permit ip destination 218.7.X.X 0.0.0.0
外网口下的配置:
interface GigabitEthernet2/1/1
nat inbound 3000 address-group 100
nat outbound 2000 address-group 11
nat server protocol tcp global 218.7.X.X 4700 inside 172.29.1.252 4700
nat server protocol tcp global 218.7.X.X 8000 inside 172.29.1.252 www
动态路由的发布:
ospf 1
default-route-advertise always
import-route nat
五、 说明及注意事项:
1、以上案例组网中全网采用了动态路由协议进行路由发布,用户上网走网通路由还是电信路由已由核心交换机来完成,因此需要在两台SR8800上将对方发布的路由过滤掉。
2、该案例已广泛应用于黑龙江农垦通信各分公司。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作