實(shí)戰(zhàn)手記之Advanced NAT

2019-11-04 20:40:37

字體：大中小

供稿：網(wǎng)友

　　KeyWords: NAT Static Route Summary Null Checkpoint
　　最近一臺(tái)CheckPoint防火墻出了問(wèn)題：在事件查看器中可以查到“No License for Routers”的錯(cuò)誤，經(jīng)常死機(jī)。這個(gè)錯(cuò)誤在CheckPoing文檔中沒(méi)有記錄, 據(jù)說(shuō)是有一個(gè)“路由器治理模塊”沒(méi)有購(gòu)買。最后發(fā)現(xiàn)，其實(shí)只要在安裝正式License時(shí)不要將試用License去掉就沒(méi)有這個(gè)問(wèn)題。
　　在等待有關(guān)方面支持的同時(shí)，我們將該防火墻撤下來(lái)，暫時(shí)用路由器實(shí)現(xiàn)原來(lái)由防火墻完成的地址轉(zhuǎn)換、訪問(wèn)控制等部分功能，新舊拓樸圖如下：
　　　實(shí)戰(zhàn)手記之Advanced NAT（圖一）

　　設(shè)置方法比較簡(jiǎn)單:
　　假如臨時(shí)使用的交換機(jī)SW不支持VLAN,則可以在路由器內(nèi)網(wǎng)端口上使用secondary address，注重這樣做會(huì)把DMZ跟內(nèi)網(wǎng)出口混在一起，要在內(nèi)網(wǎng)多層交換機(jī)上設(shè)置好訪問(wèn)控制列表，阻止通過(guò)DMZ入侵內(nèi)網(wǎng)。配置形如：
　　interface FastEthernet0/0
　　ip address 202.1.1.1 255.255.255.252
　　ip access-group 101 in
　　ip nat outside
　　 !
　　interface FastEthernet1/0
　　ip address 192.168.1.254 255.255.255.0 secondary
　　ip address 10.0.0.1 255.255.255.0
　　ip nat inside
　　 !
　　ip nat pool inet 202.2.2.1 202.2.2.9 netmask 255.255.255.0
　　ip nat inside source list 1 pool inet overload
　　ip nat inside source static 192.168.1.230 202.2.2.230
　　ip nat inside source static 192.168.1.231 202.2.2.231
　　ip classless
　　ip route 0.0.0.0 0.0.0.0 202.1.1.2
　　ip route 10.0.0.0 255.0.0.0 10.0.0.254
　　 !
　　access-list 1 permit 10.0.0.0 0.0.0.255
　　access-list 101 permit tcp any any established
　　access-list 101 permit tcp any host 202.2.2.230 eq domain
　　access-list 101 permit tcp any host 202.2.2.231 eq www
　　假如SW支持VLAN，則可以路由器端口做Trunk, 或用不同的路由器端口分別連接不同VLAN，使DMZ與Inside分開(kāi)。
　　需要注重的是，內(nèi)網(wǎng)的多層交換機(jī)上一般用默認(rèn)路由指向出口的路由器/防火墻，現(xiàn)在路由器用靜態(tài)路由指向內(nèi)網(wǎng)，這里有形成環(huán)路的危險(xiǎn)。因?yàn)樵趦?nèi)網(wǎng)，10.0.0.0/8被子網(wǎng)化，假如一臺(tái)機(jī)器訪問(wèn)10.0.0.0/8中一個(gè)不存在的子網(wǎng)時(shí)，多層交換機(jī)只有默認(rèn)路由匹配而將包轉(zhuǎn)發(fā)到出口路由器，而出口路由器路由表中最匹配的是指向多層交換機(jī)的10.0.0.0/8, 所以將包返回給多層交換機(jī)。這其實(shí)是一種路由匯總問(wèn)題, 解決的方法是是多層交換機(jī)上設(shè)定： ip route 10.0.0.0 255.0.0.0 null 0。
　　上面的拓樸圖是只有一個(gè)出口的情況，假如該客戶除了Internet出口，還有到上級(jí)單位HQ的出口，拓樸圖如：
　　實(shí)戰(zhàn)手記之Advanced NAT（圖二）

　　這時(shí)候配置就有點(diǎn)難度了，要做兩個(gè)NAT:
　　interface Ethernet0
　　ip address 192.168.1.254 255.255.255.0
　　ip nat inside
　　ip policy route-map out
　　 !
　　interface Serial0
　　description connect to Internet
　　ip address 202.1.1.1 255.255.255.0
　　ip nat outside
　　 !
　　interface Serial1
　　description connect to HQ
　　ip address 10.221.1.1 255.255.255.0
　　ip nat outside
　　 !
　　ip nat inside source route-map o202 interface Serial0 overload
　　ip nat inside source route-map o10 interface Serial1 overload
　　ip classless
　　ip route 10.0.0.0 255.0.0.0 10.221.1.254
　　ip route 0.0.0.0 0.0.0.0 202.1.1.2
　　 !
　　access-list 101 deny ip any 10.0.0.0 0.255.255.255
　　access-list 101 permit ip any any
　　access-list 102 permit ip any 10.0.0.0 0.255.255.255
　　route-map o202 permit 10
　　match ip address 101
　　set interface Serial0
　　 !
　　route-map o10 permit 10
　　match ip address 102
　　set interface Serial1
　　 !
　　route-map out permit 10
　　match ip address 102
　　set interface Serial1
　　 !
　　route-map out permit 20
　　match ip address 101
　　set interface Serial0
　　 !
　　感覺(jué)Checkpoint的總體擁有成本比較高，比如技術(shù)支持的費(fèi)用，軟件升級(jí)費(fèi)用等，不是一般的用戶能吃得消的。相比之下Cisco的產(chǎn)品技術(shù)被較多的人把握，技術(shù)支持和軟件升級(jí)等成本比較低，總體擁有成本相對(duì)就會(huì)低得多。Cisco價(jià)格透明雖然將價(jià)格競(jìng)爭(zhēng)白熱化，使集成商無(wú)利可圖，但對(duì)用戶來(lái)說(shuō)卻不是壞事。對(duì)集成商來(lái)說(shuō)，也許是時(shí)候把增值服務(wù)和產(chǎn)品分開(kāi)銷售了。

上一篇：PPPoA配置說(shuō)明

下一篇：根本的isdn筆記