A单位是保密单位,搭建了IP信息专网,有多个分部。社会单位通过A单位的外网接入进来,希望能够共享A单位的信息。同时,A单位希望也能够通过新建网访问社会单位信息。在互相访问时,双方都希望互相隐藏服务器的实际地址。
为了安全起见,在双方地址都不可以见的情况下,实现互通,在配置NAT时,需要使用双向NAT。举例来说,实现原本A地址访问B地址,经过设备后,最终实现源和目的都被转换,数据包变为A’地址访问B’地址,实现隐藏双方地址进行互通的目的。
图1 社会单位共享A客户IP信息网配置说明图
详细双向NAT过程结合图1双向NAT详图说明如下:
社会单位内网主机(10.120.0.1)访问A客户IP信息网服务器(15.120.17.1)的资源时:
1) 需要对A客户网服务器地址进行隐藏,让社会单位主机访问的地址为10.120.10.10,也就是说社会单位内网主机发起的连接为:10.120.0.1——10.120.10.10;
2) 在进入NAT设备时,将这个数据流目的地址转换,变为10.120.0.1——15.120.17.1;
3) 在流出NAT设备时,将这个数据流源地址转换,变为15.120.8.1——15.120.17.1;
4) 在A客户网服务器看来是15.120.8.1访问了它,这样就实现了隐藏社会单位内网主机地址的目的。
A客户IP信息网服务器(15.120.17.1)访问社会单位内网主机(10.120.0.1)的资源时,情况类似,访问的目的地址为15.120.8.1,不再赘述。
另外,A客户网服务器(15.120.17.1)和社会单位内网主机(10.120.0.1)对应的地址,需要在NAT设备上添加静态路由,使得交互报文能够找到对应的出接口,正确地进行NAT转换。
同时,在A客户SR88路由器上回指新增A客户网的NAT网段到新增NAT路由器设备;需要在外网与新增NAT路由器设备相连的路由设备上,回指新增外网的NAT网段到新增NAT路由器设备。
结合社会单位共享A客户IP信息网配置说明图(图1),新增NAT路由器上,相关双向NAT和路由配置举例如下。
#
nat static outbound 15.120.17.1 10.120.10.10
nat static outbound 10.120.0.1 15.120.8.1
#
interface GiAbitEthernet0/0
port link-mode route
ip address 10.120.10.2 255.255.255.252
nat static enable
#
interface GiAbitEthernet0/1
port link-mode route
ip address 15.120.4.202 255.255.255.252
nat static enable
#
ip route-static 15.0.0.0 255.0.0.0 15.120.4.201
ip route-static 10.0.0.0 255.0.0.0 10.120.10.1
#
A客户IP信息网分部SR8808路由器上需要添加地址和路由相关配置举例如下:
#
interface GiAbitEthernet2/1/2
port link-mode route
ip address 15.120.4.201 255.255.255.252
#
ip route-static 15.120.8.0 255.255.255.0 15.120.4.202
#
当外网地址充足时,利用原有网段即可,此时不需要新增路由和接口配置;如果外网地址不足,新增网段,则需要在与新增NAT路由器设备相连的外网路由设备上增加指向新增外网的NAT网段的路由。
简单的说就是需要考虑清楚社会单位的路由,确保数据流能够有路由。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作