• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SR8800的NAT特性妙用

2011-12-06 发表
  • 0关注
  • 0收藏 1266浏览
粉丝:0人 关注:0人

SR8800NAT特性妙用

一、       组网:

 用户采用两台SR8800接入组网,这两台SR8800分别从网通和电信运营商接入,都做地址转换上互联网。用户要求实现内网的用户主机访问互联网上电信的资源时从连接电信的SR8800上做地址转换出去,访问互联网上网通的资源时从连接网通的SR8800上做地址转换出去。为了实现上述要求,用户在连接网通的路由器上配置了到网通的静态路由表,在接连电信的路由器上配置了到电信的静态路由表项,并通过动态路由协议发布到核心交换机,最终的选路由核心交换机来完成。用户内网还有服务器需要从网通出口映射到互联网上去以提供对外服务。如下图所示:

 

二、       问题描述:

     在网通路由出口做了内网服务器的对外映射后,互联网上网通用户通过访问映射的公网IP地址可以访问到内部服务器的服务,而互联网上电信用户通过访问这个公网IP则无法访问到内部服务器的服务。

三、       过程分析:

     由于互联网上网通用户访问该服务器的服务正常,在此不作分析。这里主要分析互联网上电信用户访问该服务器的流程。互联网上电信用户通过互联网上的路由将数据报文送达连接网通SR8800路由器的出口,根据该设备上的内部服务器的映射配置,将映射的公网IP地址转换为内部服务器的私网IP地址,再根据设备的路由信息将数据报文送达到服务器。服务器将数据报文返回给电信用户时,在核心交换机上选路时就将该报文送到连接电信的SR8800路由器上,在该路由器上根据路由信息及NAT转换配置,将报文的源地址(内部服务器的地址)转换为电信的地址,从电信的出口发出去。再通过互联网路由送达到电信用户的主机上,电信用户的主机访问的是网通的公网IP地址,而返回的报文是由电信的IP返回,用户的主机会将此报文丢弃,从而导致用户无法访问服务器上的服务。数据走向流程如图所示:

四、       解决方法:

     从上述的分析可以看出,只要保证了服务器返回的数据报文按原路径返回就可以解决电信用户无法访问服务器的问题。为了保证服务器按原路径返回报文,常见的解决方法就是通过策略路由(重定向)来强制服务器的报文从网通接口发出。由于用户组网采用了两台SR8800来接入互联网,由核心交换机来做路由选择,因此策略路由的配置需要分别在核心交换机和连接网通的SR8800上做。由于策略路由网络自适应能力差,这样一来不但增加了用户维护工作,还增加了维护的难度。

     如果在此情况下采用SR8800NATInbound特性时,可避免繁琐的策略路由配置。解决思路:

    互联网上的用户(不再区分网通还是电信)通过互联网上的路由到达连接网通SR8800路由器的出口,做此接口做一个入方向的地址转换。将访问内部服务器的用户IP地址转换为一个没有使用过的私网IP地址,并将此私网地址通过动态路由协议发布到内网各设备上,此时送到服务器的报文的源地址不再是互联网上的公网地址,而是转换后的私网地址,服务器将报文返回给此私网地址,即将该报文送到连接网通的SR8800路由器上,路由器再根据NAT会话表项以及路由表项将报文的源地址转换成服务器映射的公网地址,将目的地址转换成用户IP地址,再从网通的出口发送出去。最后根据互联网上的路由将该报文送达到用户主机上,互联网的用户就可以访问内网的服务器了。数据报走向流程如图所示:

关键点配置:

全局下的地址池配置:

nat address-group 100 192.168.1.1 192.168.1.10

到服务器的ACL配置:

acl number 3000

 rule 0 permit ip destination 218.7.X.X 0.0.0.0

外网口下的配置:

interface GigabitEthernet2/1/1

 nat inbound 3000 address-group 100

 nat outbound 2000 address-group 11

 nat server protocol tcp global 218.7.X.X 4700 inside 172.29.1.252 4700

 nat server protocol tcp global 218.7.X.X 8000 inside 172.29.1.252 www

 动态路由的发布:

ospf 1

 default-route-advertise always

 import-route nat

 

五、       说明及注意事项:

1、以上案例组网中全网采用了动态路由协议进行路由发布,用户上网走网通路由还是电信路由已由核心交换机来完成,因此需要在两台SR8800上将对方发布的路由过滤掉。

2、该案例已广泛应用于黑龙江农垦通信各分公司。

 

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-11对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作