全部博文(1015)
分类:
2011-05-10 08:23:20
本篇文章是为管理员而准备的,阅读本文之前确保你已经掌握了OSI参考模型或TCP/IP协议、NAT概念、ACL概念、H3C或华为交换机命令行。
本篇文章在国内某高校内出口设备H3C NE20设备上应用。
一、需求环境
1.1 电信分配给用户的公网IP为:202.101.95.1至202.101.95.14地址掩码255.255.255.224
1.2 0.0.0.0(内部所有电脑)---NAT--->公网 202.101.95.1至202.101.95.8地址池
1.3 192.168.1.25(邮件服务器)、192.168.1.28(反垃圾邮件服务器)---NAT--->公网202.101.95.14(这个地址是用户MX记录地址) 保证邮件服务器和反垃圾邮件服务器通过公网202.101.95.14的地址NAT出去。
1.4 公网202.101.95.14 tcp 25-----反向映射------>192.168.1.28 tcp 25
1.5 公网202.101.95.14 tcp 110-----反向映射----->192.168.1.25 tcp 110
1.6 公网202.101.95.14 tcp 80-----反向映射----->192.168.1.25 tcp 80
1.7 公网202.101.95.8 tcp 80-----反向映射----->192.168.1.8(WWW服务器) tcp 80
二、实现方法
1、定义NAT地址池
nat address-group 1 202.101.95.1 202.101.95.8 mask 255.255.255.248
nat address-group 2 202.101.95.14 202.101.95.14 mask 255.255.255.255
2、创建ACL
acl number 2007 match-order auto
rule 5 permit source 192.168.1.25 0
rule 10 permit source 192.168.1.28 0
acl number 2009 match-order auto
rule 5 deny source 192.168.1.25 0 #这条可以不配
rule 10 deny source 192.168.1.28 0 #这条可以不配
rule 15 permit
特别提醒:ACL 2007(定义为第一个ACL)是定义允许有邮件服务器和防垃圾邮件服务器出去的ACL,而ACL 2009(定义为第二ACL)是定义允许所有包出去的ACL,同时ACL 2009我又定义rule 5和rule 10禁止邮件服务器和防垃圾邮件服务器出去。这个ACL的Number需要特别注意的是第一ACL的Number一定要小于第二个ACL Number,因为H3C在接口配置多个NAT是通过ACL Number小的顺序执行NAT。
3、在NE20外网口上配置NAT(我的外网口在Ethernet0/0/0)
interface Ethernet0/0/0
ip address 202.101.95.1 255.255.255.224 #配置外网口接口IP
nat outbound 2007 address-group 2 #这条配置实现本文需求环境1.3
nat outbound 2009 address-group 1 #这条配置实现本文需求环境1.2
nat server protocol tcp global 202.101.95.14 smtp inside 192.168.1.28 smtp 2007 address-group 2
#这条配置实现本文需求环境1.4
nat server protocol tcp global 202.101.95.14 pop3 inside 192.168.1.25 pop3 2007 address-group 2
#这条配置实现本文需求环境1.5
nat server protocol tcp global 202.101.95.14 80 inside 192.168.1.25 80 2007 address-group 2
#这条配置实现本文需求环境1.6
nat server protocol tcp global 202.101.95.8 80 inside 192.168.1.8 80 2009 address-group 1
#这条配置实现本文需求环境1.7
三、总结
本篇文章主要目的实现在NE20的一个接口上配置多个NAT,因此没有贴出其他Router相关配置。同时在此提醒阅读者,本文的两个ACL的Number号第一个ACL的Number要小于第二个ACL的Number,否则将无法实现期望的功能。另外如果要配置3个或更多NAT只要根据ACL Number小的优先顺序的原则进行配置即可。
本文要在一个接口上配置两个NAT主要目的是保证有邮件服务器和反垃圾邮件服务器一直使用202.101.95.14和这个公网地址。
写这篇文章还有一个目的告诉读者如何防止邮件服务器被RBL列为垃圾邮件,因为目很多邮件服务器以及RBL提供商会根据SPF技术把没有通过SPF检测就会列为垃圾邮件。SPF是一项检测发送者是否使用Mx记录的IP地址进行发送。如果我们没有保证邮件服务器和反垃圾邮件服务器使用MX的公网IP出去,呵呵邮件服务器就无法工作了。
目前国内的邮件服务器应用SPF技术教少,但是国外大多数邮件服务器都应用了SPF技术。所以如果没有做这个配置发往国内的邮件没有什么问题,但是发往外的邮件就会被退回来。还有很多没有做这个配置的而被国外的一些RBL提供商列为垃圾邮件。我在网上看到很多抱怨国外RBL提供商误把国内很多邮件列为垃圾邮件源,实际上国内很多邮件服务器没有规范配置才导致这个结果的