NE20 一个接口配多个NAT，防止邮件服务器被列为垃圾邮件源服务器的危险-quansheng

qsh

首页　| 　博文目录　| 　关于我

quanshengaa

博客访问： 4033628
博文数量： 1015
博客积分： 15904
博客等级：上将
技术积分： 8572
用户组：普通用户
注册时间： 2008-07-04 19:16

文章分类

全部博文（1015）

中间件（1）
weblogic-java（7）
hacmp双机（8）
qos（1）
虚拟机（12）
健康（0）
防火墙（12）
数据中心（2）
主机（5）
网管监控（6）
职场（4）
交通（1）
解决问题（2）
cnd加速（0）
流媒体视频（3）
感悟（8）
解决方案（1）
策略路由与nat（17）
专线双出口ip-sla（21）
链路聚合（8）
DNS（4）
游戏-电影-体育（7）

视频软件（1）
开源（0）
ups（1）
VOIP（11）
云计算（1）
演讲（10）
SAN光交换机（21）
VPN（1）
技术共享（19）
Juniper（13）
Wireless（2）
抓包软件（17）
IBM（3）
HP（15）
AIX（67）
数据恢复（2）
存储（41）

vtl（6）
h3c（45）
网络管理和配置软（1）
锐捷（1）
linux unix（189）

性能分析（2）

系统制作和复制（5）
模拟器（12）
系统集成（50）

集群（2）

心跳线（4）

scsi raid（18）
人物传（6）
windows（27）
数据库（35）
英语（20）
工程文档（15）
网闸（2）
网络共享（14）
系统分析师（2）
负载均衡（28）
理财stock（24）
安全（1）
我的链接分类（2）

chinaunix（2）
nortel（0）
cisco（153）

带宽估算（6）
未分配的博文（34）

文章存档

2019年（1）

2017年（1）

2016年（19）

2015年（27）

2014年（30）

2013年（95）

2012年（199）

2011年（72）

2010年（109）

2009年（166）

2008年（296）

我的朋友

最近访客

推荐博文

NE20 一个接口配多个NAT，防止邮件服务器被列为垃圾邮件源服务器的危险

分类：

2011-05-10 08:23:20

本篇文章是为管理员而准备的，阅读本文之前确保你已经掌握了OSI参考模型或TCP/IP协议、NAT概念、ACL概念、H3C或华为交换机命令行。

本篇文章在国内某高校内出口设备H3C NE20设备上应用。

一、需求环境
    1.1 电信分配给用户的公网IP为：202.101.95.1至202.101.95.14地址掩码255.255.255.224
    1.2 0.0.0.0(内部所有电脑)---NAT--->公网 202.101.95.1至202.101.95.8地址池
    1.3 192.168.1.25(邮件服务器)、192.168.1.28(反垃圾邮件服务器)---NAT--->公网202.101.95.14(这个地址是用户MX记录地址) 保证邮件服务器和反垃圾邮件服务器通过公网202.101.95.14的地址NAT出去。
    1.4 公网202.101.95.14 tcp 25-----反向映射------>192.168.1.28 tcp 25
    1.5 公网202.101.95.14 tcp 110-----反向映射----->192.168.1.25 tcp 110
    1.6 公网202.101.95.14 tcp 80-----反向映射----->192.168.1.25 tcp 80
    1.7 公网202.101.95.8 tcp 80-----反向映射----->192.168.1.8（WWW服务器） tcp 80

二、实现方法
    1、定义NAT地址池
         nat address-group 1 202.101.95.1 202.101.95.8 mask 255.255.255.248
         nat address-group 2 202.101.95.14 202.101.95.14 mask 255.255.255.255
    2、创建ACL
            acl number 2007 match-order auto
                rule 5 permit source 192.168.1.25 0
                rule 10 permit source 192.168.1.28 0
            acl number 2009 match-order auto
                rule 5 deny source 192.168.1.25 0 #这条可以不配
                rule 10 deny source 192.168.1.28 0 #这条可以不配
                rule 15 permit
    特别提醒：ACL 2007（定义为第一个ACL）是定义允许有邮件服务器和防垃圾邮件服务器出去的ACL，而ACL 2009（定义为第二ACL）是定义允许所有包出去的ACL，同时ACL 2009我又定义rule 5和rule 10禁止邮件服务器和防垃圾邮件服务器出去。这个ACL的Number需要特别注意的是第一ACL的Number一定要小于第二个ACL Number，因为H3C在接口配置多个NAT是通过ACL Number小的顺序执行NAT。
    3、在NE20外网口上配置NAT（我的外网口在Ethernet0/0/0）
        interface Ethernet0/0/0
            ip address 202.101.95.1 255.255.255.224   #配置外网口接口IP
            nat outbound 2007 address-group 2    #这条配置实现本文需求环境1.3
            nat outbound 2009 address-group 1    #这条配置实现本文需求环境1.2
            nat server protocol tcp global 202.101.95.14 smtp inside 192.168.1.28 smtp 2007 address-group 2
                #这条配置实现本文需求环境1.4
            nat server protocol tcp global 202.101.95.14 pop3 inside 192.168.1.25 pop3 2007 address-group 2
                #这条配置实现本文需求环境1.5
            nat server protocol tcp global 202.101.95.14 80 inside 192.168.1.25 80 2007 address-group 2
                #这条配置实现本文需求环境1.6
            nat server protocol tcp global 202.101.95.8 80 inside 192.168.1.8 80 2009 address-group 1
                #这条配置实现本文需求环境1.7

三、总结
    本篇文章主要目的实现在NE20的一个接口上配置多个NAT，因此没有贴出其他Router相关配置。同时在此提醒阅读者，本文的两个ACL的Number号第一个ACL的Number要小于第二个ACL的Number，否则将无法实现期望的功能。另外如果要配置3个或更多NAT只要根据ACL Number小的优先顺序的原则进行配置即可。
    本文要在一个接口上配置两个NAT主要目的是保证有邮件服务器和反垃圾邮件服务器一直使用202.101.95.14和这个公网地址。
    写这篇文章还有一个目的告诉读者如何防止邮件服务器被RBL列为垃圾邮件，因为目很多邮件服务器以及RBL提供商会根据SPF技术把没有通过SPF检测就会列为垃圾邮件。SPF是一项检测发送者是否使用Mx记录的IP地址进行发送。如果我们没有保证邮件服务器和反垃圾邮件服务器使用MX的公网IP出去，呵呵邮件服务器就无法工作了。
    目前国内的邮件服务器应用SPF技术教少，但是国外大多数邮件服务器都应用了SPF技术。所以如果没有做这个配置发往国内的邮件没有什么问题，但是发往外的邮件就会被退回来。还有很多没有做这个配置的而被国外的一些RBL提供商列为垃圾邮件。我在网上看到很多抱怨国外RBL提供商误把国内很多邮件列为垃圾邮件源，实际上国内很多邮件服务器没有规范配置才导致这个结果的

阅读(1517) | 评论(0) | 转发(0) |

上一篇：请教mp-group和virtual-template 的区别

下一篇：单口NAT配置实验（二）

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6