免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 网络技术 (已解决!)H3C MSR3020 sub地址NAT疑问?
最近访问板块 发新帖
查看: 6237 | 回复: 4
打印 上一主题 下一主题

(已解决!)H3C MSR3020 sub地址NAT疑问? [复制链接]

xy-coordinate

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-12-20 15:22 |只看该作者 |倒序浏览
本帖最后由 xy-coordinate 于 2012-12-21 13:54 编辑


(拓扑图)左侧为本单位,右侧为第三方

MSR3020配置:
acl number 2002
  rule 5 permit source 165.40.18.74 0

interface GigabitEthernet0/1
port link-mode route
nat outbound 2002
ip address 100.11.0.50 255.255.255.0

防火墙设置:
第三方A(内)        192.168.13.74
第三方A(外)        165.40.18.74
第三方A(主机)        100.11.0.5

双向地址转换
192.168.0.0/24 发起访问 100.11.0.5
源地址转换成165.40.18.74
目的地址转换成 192.168.13.74

源地址然后再由MSR3020 NAT 100.11.0.50
(见地址转换图)

在192.168.0.2上ping 192.168.13.74 正常


现在同一第三方新增1业务B,地址200.11.0.1
MSR3020 G0/1 配置
acl number 2002
  rule 5 permit source 165.40.18.74 0
  rule 10 permit source 165.40.18.75 0

interface GigabitEthernet0/1
port link-mode route
nat outbound 2002
ip address 100.11.0.50 255.255.255.0
ip address 200.11.0.50 255.255.255.0 sub

防火墙设置:
第三方B(内)        192.168.13.75
第三方B(外)        165.40.18.75
第三方B(主机)        200.11.0.1

双向地址转换
192.168.0.0/24 发起访问 200.11.0.1
源地址转换成165.40.18.75
目的地址转换成 192.168.13.75

在192.168.0.2上ping 192.168.13.74 正常
Ping 192.168.13.75 不通

地址转换.JPG (23.63 KB, 下载次数: 38)

地址转换.JPG

拓扑图.JPG (12.39 KB, 下载次数: 38)

拓扑图.JPG
xy-coordinate

论坛徽章:
0
2 [报告]
发表于 2012-12-20 16:39 |只看该作者
本帖最后由 xy-coordinate 于 2012-12-21 12:23 编辑

将单位到第三方MSTP网络末端网线,通过HUB一根变成两根,分别连接到两台MSR3020的GE口上
MSR3020 G0/1 配置
acl number 2002
  rule 5 permit source 165.40.18.74 0

interface GigabitEthernet0/1
port link-mode route
nat outbound 2002
ip address 100.11.0.50 255.255.255.0

第二台MSR3020 G0/1 配置
acl number 2002
  rule 5 permit source 165.40.18.75 0

interface GigabitEthernet0/1
port link-mode route
nat outbound 2002
ip address 200.11.0.50 255.255.255.0

防火墙再按照上面配置,并增加相应的路由

单位PC 192.168.0.2 ping 第三方虚地址 192.168.13.74和192.168.13.75 都正常!

问题解决!!!

此方法虽能解决问题,但是有弊端:
1、使用hub,增加网络节点故障风险点
2、要有第二台MSR3020或增加以太网口,增加组网成本
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
meiyuhan

论坛徽章:
0
3 [报告]
发表于 2012-12-21 10:07 |只看该作者
很好,谢谢你啊,辛苦了~~
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
xy-coordinate

论坛徽章:
0
4 [报告]
发表于 2012-12-21 12:32 |只看该作者
本帖最后由 xy-coordinate 于 2013-02-01 11:24 编辑


解决方法二:
只用原来的1台MSR3020

1、去掉acl number 2002

2、静态NAT
nat static 165.40.18.74 100.11.0.51
nat static 165.40.18.75 200.11.0.51
注意:不能与接口地址冲突(IP最后一位,一个是51,一个是50)

3、接口
interface GigabitEthernet0/1
port link-mode route
nat outbound static
ip address 100.11.0.50 255.255.255.0
ip address 200.11.0.50 255.255.255.0 sub


试验:
192.168.0.2上ping 192.168.13.74 和 192.168.13.75 都OK!!!

评分

参与人数 1可用积分 +10 收起 理由
ssffzz1 + 10 赞一个!

查看全部评分

实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
xy-coordinate

论坛徽章:
0
5 [报告]
发表于 2013-01-08 11:18 |只看该作者
因为单位网络统一规划,必须将内部网络192.168.0.0/24 转换成 165.40.18.0/24网段,互联单位只能看到165.40.18.0网段。
由于本例中的第三方单位,只允许100.11.0.50-55访问100.11.0.5(后来又新增200.11.0.50-55访问200.11.0.1),所以165.40.18.74-75需要再由MSR3020路由器NAT成100.11.0.50和200.11.0.50,
即防火墙做了一次NAT,路由器又做了一次NAT,而且第三方是2个不同的网段100、200,MSR3020使用动态NAT不行,只能转换1个,改成静态NAT,问题解决!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP