读过《三国演义》的小伙伴们都知道“荆州争夺”的故事。每次荆州谈判,东吴孙权都安排鲁肃向蜀国讨说法,然而每次谈判,鲁肃都被蜀国军师诸葛亮“精湛的演技”所说服。两国关于荆州之争,由使者间接传达君主的指令,同样,在两个所属不同的园区网络中,两个之间该如何相互通信呢?下面我们以案例的方式,向各位小伙伴总结分享,模拟拓扑图如下所示。
在模拟拓扑图中,蜀国区和东吴区的网络设备启用OSPF动态路由技术,业务地址段和互联地址段规划如下所示。
模拟软件:采用“H3C网络设备模拟器V3.0.1”。
业务地址段规划
蜀国区(172.16.13.254)与东吴区(192.168.14.254)之间可实现相互通信;
蜀吴通信解决方案采用“地址转换”的技术方案。
关于ospf的配置,在此不做陈述,重点讲解F1060_5防火墙地址转换配置;
针对蜀国区(172.16.13.254)通过地址转换访问东吴区(192.168.14.254)需求;
F1060_5防火墙配置如下:
#路由配置
ip route-static 172.16.13.254 32 10.100.11.1
ip route-static 192.168.14.254 32 10.200.12.1
#地址转换配置——定义nat地址池
nat address-group 2 name dongwu
address 10.200.12.3 10.200.12.3
#地址转换配置——目的地址转换
interface GigabitEthernet1/0/1
port link-mode route
ip address 10.100.11.2 255.255.255.240
nat server global 10.100.11.4 inside 192.168.14.254
#地址转换配置——源地址转换
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.200.12.2 255.255.255.240
nat outbound address-group 2
针对东吴区(192.168.14.254)通过地址转换访问蜀国区(172.16.13.254)需求;
F1060_5防火墙配置如下:
#地址转换配置——定义nat地址池
nat address-group 1 name shuguo
address 10.100.11.3 10.100.11.3
#地址转换配置——目的地址转换
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.200.12.2 255.255.255.240
nat server global 10.200.12.4 inside 172.16.13.254
#地址转换配置——源地址转换
interface GigabitEthernet1/0/1
port link-mode route
ip address 10.100.11.2 255.255.255.240
nat outbound address-group 1
模拟环境测试;
在SW_3上telnet访问10.100.11.4;
在F1060_5防火墙查看nat地址转换session;
从地址转换session,可得知,请求方(Initiator)进行目的地址转换,回应方(Responder)进行源地址转换;
目的地址转换,请求方
172.16.13.254与10.100.11.4,路由可通;
源地址转换,回应方
192.168.14.254与10.200.12.3,路由可通;
10.200.12.3与10.100.11.4,路由可通;
在SW_4上telnet访问10.200.12.4;
在F1060_5防火墙查看nat地址转换session;
通过“地址转换”技术来实现蜀吴通信的需求,不但不需求在各自的园区网中引入路由,而且可通过防火墙中的明细路由和防火墙安全策略控制访问资源范围;
地址转换,一方面依赖三层路由可通,另一方面需分析业务访问方向并合理选择地址转换的方式(源地址转换OR目的地址转换)。
,
