Chinaunix首页 | 论坛 | 博客

qsh

  • 博客访问: 4029317
  • 博文数量: 1015
  • 博客积分: 15904
  • 博客等级: 上将
  • 技术积分: 8572
  • 用 户 组: 普通用户
  • 注册时间: 2008-07-04 19:16
文章分类

全部博文(1015)

文章存档

2019年(1)

2017年(1)

2016年(19)

2015年(27)

2014年(30)

2013年(95)

2012年(199)

2011年(72)

2010年(109)

2009年(166)

2008年(296)

分类:

2011-05-10 08:23:20

本篇文章是为管理员而准备的,阅读本文之前确保你已经掌握了OSI参考模型或TCP/IP协议、NAT概念、ACL概念、H3C或华为交换机命令行。

   本篇文章在国内某高校内出口设备H3C NE20设备上应用。

一、需求环境
    1.1 电信分配给用户的公网IP为:202.101.95.1至202.101.95.14地址掩码255.255.255.224
    1.2 0.0.0.0(内部所有电脑)---NAT--->公网 202.101.95.1至202.101.95.8地址池
    1.3 192.168.1.25(邮件服务器)、192.168.1.28(反垃圾邮件服务器)---NAT--->公网202.101.95.14(这个地址是用户MX记录地址) 保证邮件服务器和反垃圾邮件服务器通过公网202.101.95.14的地址NAT出去。
    1.4 公网202.101.95.14 tcp 25-----反向映射------>192.168.1.28 tcp 25
    1.5 公网202.101.95.14 tcp 110-----反向映射----->192.168.1.25 tcp 110
    1.6 公网202.101.95.14 tcp 80-----反向映射----->192.168.1.25 tcp 80
    1.7 公网202.101.95.8 tcp 80-----反向映射----->192.168.1.8(WWW服务器) tcp 80

二、实现方法
    1、定义NAT地址池
         nat address-group 1 202.101.95.1 202.101.95.8 mask 255.255.255.248
         nat address-group 2 202.101.95.14 202.101.95.14 mask 255.255.255.255
    2、创建ACL
            acl number 2007 match-order auto    
                rule 5 permit source 192.168.1.25 0
                rule 10 permit source 192.168.1.28 0
            acl number 2009 match-order auto
                rule 5 deny source 192.168.1.25 0  #这条可以不配
                rule 10 deny source 192.168.1.28 0 #这条可以不配
                rule 15 permit
    特别提醒:ACL 2007(定义为第一个ACL)是定义允许有邮件服务器和防垃圾邮件服务器出去的ACL,而ACL 2009(定义为第二ACL)是定义允许所有包出去的ACL,同时ACL 2009我又定义rule 5和rule 10禁止邮件服务器和防垃圾邮件服务器出去。这个ACL的Number需要特别注意的是第一ACL的Number一定要小于第二个ACL Number,因为H3C在接口配置多个NAT是通过ACL Number小的顺序执行NAT。 
    3、在NE20外网口上配置NAT(我的外网口在Ethernet0/0/0)
        interface Ethernet0/0/0
            ip address 202.101.95.1 255.255.255.224   #配置外网口接口IP
            nat outbound 2007 address-group 2    #这条配置实现本文需求环境1.3
            nat outbound 2009 address-group 1    #这条配置实现本文需求环境1.2
            nat server protocol tcp global 202.101.95.14 smtp inside 192.168.1.28 smtp 2007 address-group 2 
                #这条配置实现本文需求环境1.4
            nat server protocol tcp global 202.101.95.14 pop3 inside 192.168.1.25 pop3 2007 address-group 2 
                #这条配置实现本文需求环境1.5
            nat server protocol tcp global 202.101.95.14 80 inside 192.168.1.25 80 2007 address-group 2 
                #这条配置实现本文需求环境1.6
            nat server protocol tcp global 202.101.95.8 80 inside 192.168.1.8 80 2009 address-group 1 
                #这条配置实现本文需求环境1.7

三、总结
    本篇文章主要目的实现在NE20的一个接口上配置多个NAT,因此没有贴出其他Router相关配置。同时在此提醒阅读者,本文的两个ACL的Number号第一个ACL的Number要小于第二个ACL的Number,否则将无法实现期望的功能。另外如果要配置3个或更多NAT只要根据ACL Number小的优先顺序的原则进行配置即可。
    本文要在一个接口上配置两个NAT主要目的是保证有邮件服务器和反垃圾邮件服务器一直使用202.101.95.14和这个公网地址。
    写这篇文章还有一个目的告诉读者如何防止邮件服务器被RBL列为垃圾邮件,因为目很多邮件服务器以及RBL提供商会根据SPF技术把没有通过SPF检测就会列为垃圾邮件。SPF是一项检测发送者是否使用Mx记录的IP地址进行发送。如果我们没有保证邮件服务器和反垃圾邮件服务器使用MX的公网IP出去,呵呵邮件服务器就无法工作了。
    目前国内的邮件服务器应用SPF技术教少,但是国外大多数邮件服务器都应用了SPF技术。所以如果没有做这个配置发往国内的邮件没有什么问题,但是发往外的邮件就会被退回来。还有很多没有做这个配置的而被国外的一些RBL提供商列为垃圾邮件。我在网上看到很多抱怨国外RBL提供商误把国内很多邮件列为垃圾邮件源,实际上国内很多邮件服务器没有规范配置才导致这个结果的

阅读(1516) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~