IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		图片批量下载器
↓批量下载图片,美女图库↓ 		图片自动播放器
↓图片自动播放器↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> 华三配置nat推荐 -> 正文阅读

[系统运维]华三配置nat推荐

拓扑如下:

1、背景: 客户端位于client端,并使用客户客户这几台网络设备模拟客户端访问内网,以及内网访问客户端;要求内网ssh服务上不能出现客户端的真实地址,客户端也不能出现内网ssh服务的真实地址。这样我们依靠R1和R2设备来完成两个方向上的nat配置。

2、问题:在这个场景下华三设备有效的nat改如何配置?

? ? ? ? ① 静态一对一的推荐配置方法:

nat static inbound 100.2.46.2 188.156.190.71
nat static inbound 100.1.69.60 188.156.190.70

????????同时在下联商户的接口开启:?nat static enable

interface G0/0
?description to 客户端
?nat outbound 3027 address-group 2
?nat outbound 3002 address-group 2
?nat server protocol tcp global 100.1.65.138 22 inside 188.156.191.2 22
?nat static enable
#

② 华三路由器从客户端访问内网ssh服务目的nat使用:

nat server protocol tcp global 100.1.65.138 22 inside 188.156.191.2 22

③ 华三路由器从内网ssh服务主动访问客户端的PAT转换源地址:
?

interface G0/0
?description to 客户端
?nat outbound 3027 address-group 2
?nat outbound 3002 address-group 2

nat address-group 2
?address 100.1.65.138 100.1.65.138

acl number 3027?

rule 5 permit tcp source 188.156.191.65 0 destination 100.2.46.2 0 destination-port eq 22

④ 客户端主动发起访问内网ssh服务需要做源转换的PAT:

acl number 3002?
rule 0 permit ip source 188.156.191.2 0?

nat address-group 2
?address 100.1.65.138 100.1.65.138

interface G0/0
?description to 客户端
?nat outbound 3027 address-group 2
?nat outbound 3002 address-group 2

----------------------------------------分割线-------------------------------------------------

3、访问关系分析说明:

? ? ? ? ① 使用loopback 地址:100.1.69.60/32模拟客户端主动访问内网ssh服务

????????客户端主动发起访问内网:
?ssh 100.1.65.138 source ip 100.1.69.60
?? ?去程:
?? ??? ??? ?客户端访问目的地址:100.1.65.138--》188.156.191.2(转换)
?? ??? ??? ??? ??? ? ?源地址:100.1.69.60--》188.156.190.70(转换)
?? ?返回:
?? ??? ??? ?内网ssh服务回源地址:188.156.191.2--> 100.1.65.138 #由于是nat server方式不能主动发起,回城只能依赖nat session
?? ??? ??? ? ?目的地址:188.156.190.70--》100.1.69.60

? ? ? ? ②使用loopback地址:188.156.191.65/32模拟内网ssh服务主动访问客户端

内网ssh服务主动发起访问客户端:
ssh 188.156.190.71 source ip 188.156.191.65

?? ?去程:内网ssh服务访问目的地址:188.156.190.71--》100.2.46.2
?? ??? ??? ??? ? ? 源地址:188.156.191.65--》100.1.65.138?
?? ?返回:客户端回源地址:100.2.46.2--》188.156.190.71
?? ??? ??? ?目的地址:188.156.191.65--》100.1.65.138 #由于是acl方式的nat outbound,不能主动发起,只能依赖nat session

3、结论:

? ? ? ? ① outbound的配置方法,此方法会产生一条null 0路由,具体解决办法请参考另外一篇文章。

outbound配置:
nat static outbound 100.2.46.2 188.156.190.71
nat static outbound 100.1.69.60 188.156.190.70

nat address-group 2
 address 100.1.65.138 100.1.65.138

acl number 3027  #ssh服务主动出做源地址转换,转成客户端要求的源地址(客户端可路由);
 rule 5 permit tcp source 188.156.191.65 0 destination 100.2.46.2 0 destination-port eq 22 (4 times matched)
#
acl number 3002 #客户端访问内网ssh服务数据包返回时,需要命中188.156.191.2转换成客户端要求的源地址;
rule 0 permit ip source 188.156.191.2 0 (7 times matched)
#

【1】路由器上联交换机接口配置:需要开启nat
interface GigabitEthernet0/1
 port link-mode route
 combo enable copper
 ip address 188.8.1.5 255.255.255.248
 ospf 20 area 0.0.0.0
 nat static enable
#
【2】路由器下联客户端接口:
interface G0/1
 description to 客户端
 ip address 172.16.10.1 255.255.255.0
 nat outbound 3027 address-group 2
 nat outbound 3002 address-group 2
 nat server protocol tcp global 100.1.65.138 22 inside 188.156.191.2 22
#

? ? ? ? ② inbound配置方法

outbound配置:
nat static inbound 100.2.46.2 188.156.190.71
nat static inbound 100.1.69.60 188.156.190.70

nat address-group 2
 address 100.1.65.138 100.1.65.138

acl number 3027  #ssh服务主动出做源地址转换,转成客户端要求的源地址(客户端可路由);
 rule 5 permit tcp source 188.156.191.65 0 destination 100.2.46.2 0 destination-port eq 22 (4 times matched)
#
acl number 3002 #客户端访问内网ssh服务数据包返回时,需要命中188.156.191.2转换成客户端要求的源地址;
rule 0 permit ip source 188.156.191.2 0 (7 times matched)
#

【1】路由器上联交换机接口配置

interface GigabitEthernet0/1
 port link-mode route
 combo enable copper
 ip address 188.8.1.5 255.255.255.248
 ospf 20 area 0.0.0.0
#

【2】下联接口
interface Vlan-interface604
 description to 客户端
 ip address 172.16.10.1 255.255.255.0
 nat outbound 3027 address-group 2
 nat outbound 3002 address-group 2
 nat server protocol tcp global 100.1.65.138 22 inside 188.156.191.2 22
 nat static enable
#
  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-07-17 17:01:55  更:2022-07-17 17:05:09 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/15 11:54:07-

图片自动播放器
↓图片自动播放器↓ 		TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓ 		图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码