因下属店铺与银行线路调整,银行不使用前置机和路由器与店铺内网连接,二是采用mstp网络直连店铺交换机,通过静态路由和nat转换实现与银行数据的交互。
首先脑海中浮出的第一个问题是路由和nat的优先级谁高,经查,路由的优先级高于nat,所以数据包经过路由器后首先查询路由表目的地址的路径,按照路由表的路径进行传输;若目的地址要经过某个nat出接口,则与acl配对,匹配上后就进行nat转换,否则丢弃。
路由的配置如下:
ip route-static 0.0.0.0 0.0.0.0 10.37.0.241
ip route-static 172.20.19.0 255.255.255.0 GigabitEthernet0/0 192.168.168.2
nat配置如下:
acl number 2001
rule 0 permit source 10.37.1.0 0.0.0.255
rule 3 denyinterface GigabitEthernet0/0
port link-mode route
description ### LianTong-DaShang ###
nat outbound 2001
ip address 192.168.168.1 255.255.255.252
静态地址转换,nat配置在出接口上。
H3C支持的NAT主要包括:NAPT、NOPAT、EASY IP三种模式。一般情况下,通过在接口上配置所需关联的ACL和内部全局地址池(当采用EASY IP进行配置时不用配置址池)即可实现动态地址转换,让内部网络用户根据ACL(可选配置)所配置的策略动态选择地址池中可用的IP地址进行转换。
NOPAT和NAPT的区别就是根据是否同时使用端口信息来进行动态地址转换:NOPAT为不使用TCP/UDP端口信息实现的多对多地址转换是纯IP地址的转换;NAPT为使用TCP/UDP端口信息实现的多对一地址转换,可以是仅IP地址或端口,或者端口与IP地址同时进行的转换。若直接使用NAT路由器外部网络接口的IP地址作为转换后的内部全局IP地址,则就是EASY IP这种动态NAT地址转换模式了。
在H3C路由器中,NAT地址转换关联一般在NAT路由器的外部网络接口(出接口)上配置,但是当某内网主机需要通过多个出接口访问外网时,就需要在多个出接口上配置地址转换关联,配置过程就比较复杂了,所以H3C路由器又提供了内部网络接口(入接口)地址关联的配置方案。这样当NAT路由器作为VPN间互访的工具时,在出接口较多的情况下,通过在接入各私网的入接口上配置地址转换关联达到简化配置的目的。这两种配置方式的特点如下(目前主要还是在出接口上关联):
若配置NAT路由器外部网络接口地址关联,那么从外部网络接口发送的首个数据包会首先由ACL(或报文源地址)进行判定是否允许进行地址转换,然后根据关联找到与之对应的地址池(或接口地址)进行源地址转换,并建立地址转换表项,后续数据包直接根据地址转换表项进行转换。
如果配置NAT路由器内部网络接口地址关联,那么从内部网络接口接收的符合指定ACL的数据包首先会被重定向到NAT业务板,然后再做与外部网络接口地址转换类似的源地址转换处理。但该方式下地址转换不支持EASY IP特性,因为这时出口地址有多个。