我终于知道为什么要学习原理了,原来是为了不让客户怼....
本文关键字:NAT
出自公众号:工程师江湖
一、背景
不用多说,作为一个工程师,被怼是很平常的事情,话说,谁TM欠揍,愿意被人怼?
做为一个耿直Boy,我捡起了我好久不看的原理,想怼我,我就拿技术说话,就酱紫。
这次说比较常用的:
- NAT是什么鬼?
- 源NAT,目的NAT又是什么玩意?
- 怎么把上面两点融会贯通,防止被客户怼住。
曾经的某年某月某日,那天云淡风轻,然而没想到的是,狂风暴雨已然潜藏在背后,我们的故事就从这里开始!
一阵叮铃铃的声音传来,侧眼一看,我心塞,这是客户的电话,思维一阵转动,无果,接听。
听完知道了,实现映射,NAT,等于简单,没错,就是简单啊。
然而,忘记了,还需要给客户讲,此时心烦意乱的战斗已然拉开序幕。
A:恩,做PAT,端口映射,对了我们这边既有服务器和终端,需要做源NAT和目的NAT。
B:PAT不行吗,就做个PAT就够了,让我们的IP出去转换一下。
A:是这样的,NAT分为源NAT和目的NAT,源NAT就是对于终端来说的。
把我们的私有网段转换为公网的某一个IP地址,目的NAT是针对服务器这种设备来说的,把我们的服务器映射为一个公网地址。
对方访问这个公网地址就相当于是访问我们的服务器,而且他们也不知道我们的私网服务器地址,这样安全。
B:这样啊,恩,那就这样做,那我们的路由怎么做?
A:这个好做啊,在我们各自的私网里面把路径指向映射后的IP网段就行。
B:那我们两端映射的地址需要在同段不?
A:不需要的,那个映射的地址我们自己知道就行,随便设置,不用关心哪一个段,只要各自内网可以到达就行。
B:ok。那这个策略怎么放行啊?这边只能允许某些网段或者地址通过,要不要做访问控制策略。
A:不用管的,我们在做NAT转换的时候,在里面实际就已经指定好了,这个已经有点访问控制策略的意思了,叫法不一样,但本质做到了。
B:给我讲讲我们的IP地址怎么出去的。
A:首先查路由表,有路由,ok,下一步查看NAT,符合就进行转换,对了另外会有一个多协议应用,所以我们在开启detect 就行,比如ftp。
B:为什么啊?
A:因为FTP实际上使用了两个端口20和21,需要检测报文,开启后就会检测。
当晚开始了痛(不)苦(想)的 割(加)接(班)。
忘记说了,这是在防火墙上面做的配置。
来个图片:
A:我们的防火墙是做的热备(主备),你们设备是怎么做的呢?
B:我们也做了备份,不过是基于静态路由实现的主备。
A:这样啊,那我的vrrp主地址是X.X.X.X。
B:ok,开始搞。
几个小时以后(他们在做内网到公网的路由,虽然有点长吧)
B:我们要做一个配置,把静态路由和BFD绑在一起。
A:没有必要吧。
B:对方很强势,无视。
A:算了,无所谓,做就做呗,你们的local和remote规定没有?
B:好了,我们local是1111,你们的loca就用1112。
B:没起来,配置做对没有?
A:心里mmp,给他发了个截图(怎么可能做错,你们咋那么硬呢?)
B:没错啊,等会,我们讨论下
对面一阵叽哩哇啦的声音传来,果断挂断。
B:接口down——up一下看看。
A:行,你们说了算。
B:还是没起来。
B:找研发,抓一下你们的配置。
我们内部一阵交涉,可以。
华三防火墙几个小时后,此时晚上8点,眼瞅着地铁就没了。
反正一堆破事,不想说了。
bfd使用的两种现象:
在此场景,首先看下防火墙的配置,下面在基于这个配置描述。
防火墙配置- 防火墙侧因为使用了vrrp,所以如果对端下一跳指向的是vrrp虚地址,那么BFD配置需要通过出接口指定;
- 对端指向的是防火墙的物理接口实地址,那么BFD要同时通过出接口和源接口地址(VRRP地址)
BFD是这样做的:
BFD配置BFD up了,你以为搞定了?
还没有,TM的还有个测试,表示一分钟都不想待了。。。
Telnet背后的故事mp.weixin.qq.com
VRRP双主,真是要了我老命了mp.weixin.qq.com
我是这么想的,但是实际上,我老老实实的待在那里做了测试。
这个说来话长,NAT是个省心鬼。
NAT可以让你使用公共IP去上网,见识更大的世界;
NAT可以让你把自己藏起来,防止被人爆光;
NAT可以让你..........(自己想去)
有点不好意思,凑不成排比句,你要是凑成,后台回复下给我瞅瞅。
其实我想说防止被客户怼的情况就是把NAT研究清楚。
京公网安备 11010802041100号