单位外网地址

知NAT刘志伟2015-11-16发表双向NAT典型配置技术案例A单位是保密单位,搭建了IP信息专网,有多个分部.
社会单位通过A单位的外网接入进来,希望能够共享A单位的信息.
同时,A单位希望也能够通过新建网访问社会单位信息.
在互相访问时,双方都希望互相隐藏服务器的实际地址.
为了安全起见,在双方地址都不可以见的情况下,实现互通,在配置NAT时,需要使用双向NAT.
举例来说,实现原本A地址访问B地址,经过设备后,最终实现源和目的都被转换,数据包变为A'地址访问B'地址,实现隐藏双方地址进行互通的目的.
图1社会单位共享A客户IP信息网配置说明图详细双向NAT过程结合图1双向NAT详图说明如下:社会单位内网主机(10.
120.
0.
1)访问A客户IP信息网服务器(15.
120.
17.
1)的资源时:1)需要对A客户网服务器地址进行隐藏,让社会单位主机访问的地址为10.
120.
10.
10,也就是说社会单位内网主机发起的连接为:10.
120.
0.
1——10.
120.
10.
10;2)在进入NAT设备时,将这个数据流目的地址转换,变为10.
120.
0.
1——15.
120.
17.
1;3)在流出NAT设备时,将这个数据流源地址转换,变为15.
120.
8.
1——15.
120.
17.
1;4)在A客户网服务器看来是15.
120.
8.
1访问了它,这样就实现了隐藏社会单位内网主机地址的目的.
A客户IP信息网服务器(15.
120.
17.
1)访问社会单位内网主机(10.
120.
0.
1)的资源时,情况类似,访问的目的地址为15.
120.
8.
1,不再赘述.
另外,A客户网服务器(15.
120.
17.
1)和社会单位内网主机(10.
120.
0.
1)对应的地址,需要在NAT设备上添加静态路由,使得交互报文能够找到对应的出接口,正确地进行NAT转换.
同时,在A客户SR88路由器上回指新增A客户网的NAT网段到新增NAT路由器设备;需要在外网与新增NAT路由器设备相连的路由设备上,回指新增外网的NAT网段到新增NAT路由器设备.
结合社会单位共享A客户IP信息网配置说明图(图1),新增NAT路由器上,相关双向NAT和路由配置举例如下.
#natstaticoutbound15.
120.
17.
110.
120.
10.
10natstaticoutbound10.
120.
0.
115.
120.
8.
1#interfaceGiAbitEthernet0/0portlink-moderouteipaddress10.
120.
10.
2255.
255.
255.
252natstaticenable#interfaceGiAbitEthernet0/1portlink-moderouteipaddress15.
120.
4.
202255.
255.
255.
252natstaticenable#iproute-static15.
0.
0.
0255.
0.
0.
015.
120.
4.
201iproute-static10.
0.
0.
0255.
0.
0.
010.
120.
10.
1#A客户IP信息网分部SR8808路由器上需要添加地址和路由相关配置举例如下:#interfaceGiAbitEthernet2/1/2portlink-moderouteipaddress15.
120.
4.
201255.
255.
255.
252#iproute-static15.
120.
8.
0255.
255.
255.
015.
120.
4.
202#当外网地址充足时,利用原有网段即可,此时不需要新增路由和接口配置;如果外网地址不足,新增网段,则需要在与新增NAT路由器设备相连的外网路由设备上增加指向新增外网的NAT网段的路由.
简单的说就是需要考虑清楚社会单位的路由,确保数据流能够有路由.