- N +

解决多个企业专线与机房资源私网ip冲突问题

随着业务发展,互联网传输始终还是不太靠谱,越来越多的本地企业选择专线接入到机房,以前还能通过协商分配空闲的私网地址段来给用户端做源NAT避免冲突。专线接入的用户多起来以后,基本上很难找到与各方都不冲突的空闲地址段,这个办法已经不能解决问题了。

思来想去,最好的办法就是在专线接入的防火墙上启用接口源进源出功能,这个功能原本是用于互联网出口防火墙应对多运营商接入的,这里把每条接入的用户企业专线都当成一个运营商来对待。使用双向NAT再搭配10.64.0.0/16位的电信保留地址段来做目的NAT和源NAT。

(一般情况没有局域网会用这个地址段也不太可能与电信业务起冲突)

简单的拓扑图和大致的配置如下:

blob.png

例如最近遇到的极端情况,企业A有一个172.18.2.10的地址,企业B也用了这个172.18.2.10的地址,两家企业都要访问机房172.18.2.10这样的服务器资源!

企业A终端A访问服务器C的过程:

去程:终端A--企业A局域网--企业A专线路由--运营商传输链路--机房专线接入交换机--防火墙企业A子接口--转换源地址为100.64.2.X--经过机房核心网络--服务器C

回程:服务器C--机房核心网络--专线防火墙--防火墙源进源出的配置将数据包转发至企业A的子接口(源进源出根据会话优先级高于路由)--专线接入交换机根据子接口的vlan号将数据转发至企业A专线接口

双向NAT解决企业与机房资源的地址冲突,源进源出解决不同企业之间的地址冲突。

如果按照最初的协商分配地址方案简直要抓狂,换了新方案之后一切迎刃而解~

返回列表
上一篇:
下一篇:

发表评论中国互联网举报中心

快捷回复:

  评论列表 (已有4条评论,共48人参与)参与讨论
  网友昵称:boke112导航
  boke112导航游客2周前 (06-11)回复
  双向NAT还没玩过,感觉一个企业如果没有服务器是最简单的
  网友昵称:云顶天
  云顶天管理员2周前 (06-11)回复
  @ boke112导航 如果只是内部的服务器也不麻烦,如果需要外部通过互联网访问服务器就事情多了。
  网友昵称:zaera
  zaera游客2周前 (06-11)回复
  计算机网络的东西arrow
  网友昵称:云顶天
  云顶天管理员2周前 (06-12)回复
  @ zaera arrow是不是想起了什么?