奇葩网络-之路由策略+SNAT

最新推荐文章于 2023-11-15 22:23:06 发布
最新推荐文章于 2023-11-15 22:23:06 发布
阅读量394 收藏
点赞数
分类专栏: 奇葩网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IO_print/article/details/114745008
版权

网络拓扑:
在这里插入图片描述
问题描述: 客户需求需要内网访问的所有数据必须经过AR3设备(包括网络流量的回程流量),数据流量出方向,由Pc1->AR2->AR3->AR2->AR1. 回程方向AR1->AR2->AR3->AR2->PC1(出方向红色,回程流量绿色).不考虑端口镜像.
在这里插入图片描述
解决思路:

1.有客户端发起的数据可以根据源地址在AR2上改变下一跳使数据流量到达R3,R3配置静态路由使流量返回AR2,然后从AR2的g0/0/0口发出数据.
2.回程方面:由于pc发出的源地址是172.16.0.2,AR1上没有回程路由因此,需要在AR2上做SNAT,通过session返回,这时出现一个问题,回程的数据无法到达AR3.
3. 为了让数据能够回到AR3,因此在AR3的出接口做SNAT,改变PC请求的源地址.将数据模拟从AR3发出,使得回程数据能够到达R3,R3根据nat的会话返回到PC1.

配置:
AR1

interface GigabitEthernet0/0/0
 ip address 12.0.0.1 255.255.255.0

AR2

interface GigabitEthernet0/0/0
 ip address 12.0.0.2 255.255.255.0 
 nat outbound 2001  //配置snat
#
interface GigabitEthernet0/0/1
 ip address 23.0.0.2 255.255.255.0 
#
interface GigabitEthernet0/0/2            
 ip address 172.16.0.1 255.255.255.0 
 traffic-policy cg_nhp inbound

acl number 2000    //匹配从pc1发出的流量,修改下一跳到达AR3
 rule 5 permit 
acl number 2001  //匹配出方向流量最snat
 rule 5 permit 
 
 traffic-policy cg_nhp inbound
traffic classifier cg_nhp operator or
 if-match acl 2000
#
traffic behavior cg_nhp
 redirect ip-nexthop 23.0.0.3             
#
traffic policy cg_nhp
 classifier cg_nhp behavior cg_nhp

AR3

interface GigabitEthernet0/0/1
 ip address 23.0.0.3 255.255.255.0 
 nat outbound 2000
 
acl number 2000  //匹配pc1的流量 做snat
 rule 5 permit source 172.16.0.0 0.0.0.255 

ip route-static 0.0.0.0 0.0.0.0 23.0.0.2

测试:
在这里插入图片描述
2,3 为什么是星号暂时不清楚,通过wireshark 抓包,查看数据.
在这里插入图片描述
查看AR3 nat session
在这里插入图片描述
查看AR2 nat session
在这里插入图片描述

__Dong
关注
专栏目录
2011-4-17+应用交付之BIG-IP+LTM篇-Beta版
04-14
4. 应用交付的本地流量负载均衡处理:包括OSI七层模型的介绍、负载均衡的挑战、F5 BIG-IP LTM工作原理、负载均衡策略、会话保持、健康检查、基于HTTP协议和DNS协议的负载均衡策略、安全地址翻译(SNAT)、本地应用...
使用SNAT解决管理路由问题
weixin_33800593的博客
04-29 241
可以使用接口NAT,将访问设备的源地址转换为接口地址。这样设备就不需要做回指路由。也就避免了路由重发布等问题。 转载于:https://blog.51cto.com/3layer/847040...
SNAT与DNAT策略
ynyysn的博客
02-18 1265
1.SNAT策略及应用 SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 SNAT原理与应用 SNAT应用环境;局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)SNAT原理;源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映谢 SNAT转换前提条件: 1.局域网各主机己正确设置IP地址、子网掩码、默
SNAT与DNAT
python基础
11-19 1235
SNAT与DNAT SNAT是转换源地址,是在postrouting链上,相当于是你在一个局域网内,你的ip是192.168.200.10主机A,你需要访问公网主机B,ip是172.168.89.105,如果不改变你的源地址,走路由将主机A的数据发送给B,接收到A的请求返回数据给A,但是B无法看到私网的IP,所以B只能找上一级路由,为了实现数据包的正确发送及返回,网关必须将A的址转换为一个合法的公...
配置SNAT实现共享上网2
LIGANG0704的博客
05-20 866
 步骤 实现此案例需要按照如下步骤进行。 步骤一:搭建一套基于“局域网-Linux网关-互联网”的案例环境 沿用练习一的环境,稍作调整。 停用虚拟机svr5、gw1、pc120上的iptables服务,清空防火墙规则: [root@gw1 ~]# service iptables stop iptables:将链设置为政策 ACCEPT:filter [确定...
route,iptables及一些相关知识(整理),iptables命令解释
Fiverya的博客
11-07 3855
从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分...
4.LVS--NAT模式+DR模式.docx
06-30
- `iptables -t nat -A POSTROUTING -o ens33 -s 192.168.1.0/24 -j SNAT --to 192.168.10.81`:设置 SNAT 规则,确保从 ens33 网卡(后端服务器所在网卡)发出的数据包源 IP 地址被替换为 VIP。 ##### 3.2 DR ...
Neutron 网络之负载均衡 - UnitedStack
07-20
【Neutron 网络之负载均衡】 Neutron是OpenStack中的网络服务组件,负责管理虚拟网络基础设施。在云计算环境中,负载均衡对于确保服务高可用性和性能至关重要。UnitedStack公司的这篇博客详细介绍了如何在Neutron...
应用交付之BIG-IP+LTM
05-01
- **安全地址翻译(SNAT)**:解释了SNAT的工作原理及其在保障网络安全中的作用。 - **本地应用负载均衡的组网模式**:概述了几种常见的组网方式,包括单臂模式、双臂模式等,并分析了各自的优缺点。 - **BIG-IP LTM...
VMware之SNAT与DNAT.docx
01-03
在虚拟化领域,VMware 提供了一种强大的网络功能,即源网络地址转换(Source Network Address Translation,简称 SNAT)和目的网络地址转换(Destination Network Address Translation,简称 DNAT),这两种技术在...
超简单让你的电脑成为一台路由器,SNAT协议
lingfei1314的博客
07-30 908
本操作是在Linux里实现 Centos 8 很重要的一定一定要关闭防火墙 关闭防火墙 service firewalld stop --》马上关闭firewalld服务 --》临时关闭 systemctl disable firewalld -->设置firewalld服务开机不启动 --》永久关闭 永久关闭selinux 关闭selinux,selinux 是保护linux系统安全的一个机制,暂时不使用,建议关闭 [root@cali ~]# vim /etc/...
内网通过snat访问外网
kerrysu2015的博客
04-28 3146
SNAT SNAT:设置内网的设备经过防火器(路由器等)接入到互联网时,按内网设备的不同IP地址、对应选择不同的外网接口 例如: 有两台服务器Server A(具有双网卡em1, em2), Server B,其中(proxy_ip和private_ip可以ping通): 1.  Server A:具有内网地址proxy_ip (proxy_nic=em1)和外网地址public_ip (
SNAT概述
Sldy0701的博客
03-07 8407
SNAT策略及应用 DNAT策略及应用 规则的导出,导入 使用防火墙 SNAT策略概述 SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 SNAT原理与应用 SNAT应用环境;局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)SNAT原理;源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映谢
SNAT(/DNAT)策略网络搭建
qq_24263755的博客
10-17 2042
SNAT网络搭建实验要求三台虚拟机IP设置1.内网IP:192.168.2.12.网关IP设置3.外IP:172.16.16.14.网关ping内外网测试网关上设置路由转发1.编辑路由转发配置文件2.网关添加SNAT转发规则内网编写网页内容并在外网访问1.内网安装httpd2.编写httpd配置文件3.外网访问内网验证成功! 实验要求 1.三台虚拟机 2.内网IP:192.168.2.1 网口...
Linux-SNAT和DNAT
热门推荐
小工匠
10-10 1万+
概述 Linux-iptables命令 Linux-SNAT和DNAT 在上一博客Linux-iptables命令中,我们知道了一些iptable的nat表中几个链的区别,这里单独讲其中两个链拿出来详细说明。 DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映射。 SNAT(Source Network Addres...
snat dnat 回环
remind777的博客
01-08 802
其实所谓的snat,dnat就是对数据包的源地址和目的地址进行修改,并且保存修改前后的映射关系,并且根据需要进行还原操作。snat:出去的时候改 变原地址(snat),回来的时候改变目的地址(un_snat)dnat:进来的时候改变目的地址(dnat),出去的时候改变源地址 (un_dnat)而所谓的回环,其实同时用到了snat和dnat,例如:src 192.168.1.2(client)
网络地址转换的两种模式:SNAT和DNAT网络通信的核心
最新发布
网络技术联盟站
11-15 2255
SNAT和DNAT网络地址转换(NAT)的两种主要模式,它们在许多网络环境中都发挥着重要的作用。SNAT主要用于允许内部网络的主机通过一个公网IP地址访问互联网,而DNAT主要用于将外部网络的请求重定向到内部网络的特定主机。尽管SNAT和DNAT都可以提供一定程度的安全性,但它们并不能提供完全的安全保障。因此,我们应该将SNAT和DNAT作为网络安全策略的一部分,与其他安全措施(如防火墙和入侵检测系统)一起使用。
防火墙——SNAT和DNAT策略的原理及应用、防火墙规则的备份和还原
王大雏的博客
05-25 2696
防火墙——SNAT和DNAT策略的原理及应用、防火墙规则的备份和还原一、SNAT策略概述1、SNAT应用环境2、SNAT原理3、SNAT转换的前提条件二、SNAT策略的应用1、临时打开2、永久打开3、SNAT转换1:固定的公网IP地址4、SNAT转换2:非固定的公网IP地址(共享动态IP地址)三、DNAT策略概述1、DNAT应用环境2、DNAT原理3、DNAT前提条件四、DNAT策略的应用1、编写DNAT转换规则2、DNAT转换1:发布内网的Web服务3、DNAT转换2:发布时修改目标端口4、扩展五、防火墙
F5 BIG-IP LTM详解:SNAT源地址会话保持与关键功能
SNAT网络设备用于隐藏内部网络的真实地址,将其转换为外部网络可访问的形式,以实现网络的安全性和管理性。 在LTM的基础架构中,Traffic Management Module (TMM) 是核心组件,它负责处理所有生产流量,且每个CPU...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值