随着业务发展,互联网传输始终还是不太靠谱,越来越多的本地企业选择专线接入到机房,以前还能通过协商分配空闲的私网地址段来给用户端做源NAT避免冲突。专线接入的用户多起来以后,基本上很难找到与各方都不冲突的空闲地址段,这个办法已经不能解决问题了。
思来想去,最好的办法就是在专线接入的防火墙上启用接口源进源出功能,这个功能原本是用于互联网出口防火墙应对多运营商接入的,这里把每条接入的用户企业专线都当成一个运营商来对待。使用双向NAT再搭配10.64.0.0/16位的电信保留地址段来做目的NAT和源NAT。
(一般情况没有局域网会用这个地址段也不太可能与电信业务起冲突)
简单的拓扑图和大致的配置如下:
例如最近遇到的极端情况,企业A有一个172.18.2.10的地址,企业B也用了这个172.18.2.10的地址,两家企业都要访问机房172.18.2.10这样的服务器资源!
企业A终端A访问服务器C的过程:
去程:终端A–企业A局域网–企业A专线路由–运营商传输链路–机房专线接入交换机–防火墙企业A子接口–转换源地址为100.64.2.X–经过机房核心网络–服务器C
回程:服务器C–机房核心网络–专线防火墙–防火墙源进源出的配置将数据包转发至企业A的子接口(源进源出根据会话优先级高于路由)–专线接入交换机根据子接口的vlan号将数据转发至企业A专线接口
双向NAT解决企业与机房资源的地址冲突,源进源出解决不同企业之间的地址冲突。
如果按照最初的协商分配地址方案简直要抓狂,换了新方案之后一切迎刃而解~
