与ISA2006相关的路由配置一例

网友投稿 267 2022-10-19


与ISA2006相关的路由配置一例

1.关于拓扑图的说明

a。Isa2006为公司办公网络的默认网关,ISA通过ADSL路由器实现NAT接入Internet

b。cisco路由器的用途是用来连接远端一处在线业务数据中心的MPLS接入终端,连接到远端数据中心,并且只有192.168.100.0/24的网段允许到远端数据中心,实现数据中心管理控制台和内部办公网络的隔离。

2.业务变更产生新需求。

由于业务变更,导致某个同事需要频繁访问到远端数据中心的某项应用,但是192.168.100.253的管理控制台去访问数据中心又非常不方便,因为和办公网络隔离。

3.解决办法

给拓扑图中的cisco路由器配置一个192.168.1.2的ip接入到办公网络的交换机;当192.168.1.0/24的电脑访问远端数据中心的服务(假设需要访问192.168.200.1这台位于数据中心的服务器),通过默认网关192.168.1.1将数据转发到192.168.1.2,再从cisco路由器通过MPLS vpn 到底远端的192.168.200.1

4.实现过程

假设192.168.1.10需要访问192.168.200.1上的服务。它的数据流大概如下:

a。192.168.1.10将目标地址192.168.200.1的数据请求发送给默认网关192.168.1.1

b。ISA在拿到数据后,比较ISA设置的网络规则,在未做配置前,发现192.168.200.0的网端并不含在预设的INTRANET内,于是将当做EXTRANET发送到外网方向,造成访问失败。

c。假定,在ISA新加一个网络名datacenter含192.168.200.1的地址,并将它和intranet的关系设置为“路由”。ISA收到包以后,发现目标地址属于datacenter网络,并且根据预先设置好的路由表 router add 192.168.200.0 mask 255.255.255.0 192.168.1.2 ,会转发给192.168.1.2. 经过观察发现,数据包并未转发到192.168.1.2.  最终的解决办法是将192.168.200.1加入到ISA的intranet范围内,测试后可以将数据转发到192.168.1.2

d。 由于MPLs vpn  服务商指定了访问规则只允许预设的192.168.100.0网端通过×××。在不要求上游做更改的基础上要实现来自192.168.1.0网络的数据需要通过×××必须依靠NAT来实现,就是将接口192.168.1.2的数据NAT成192.168.100.0的数据,这样就可以通过×××。在现有的配置中,cisco所有的数据包都路由到上游IP。

e。通过nat伪装来自192.168.1.0 到192.168.200.1 的数据流。

定义一个ACL

ip access-list extended nat_to_100 permit ip 0.0.0.0 255.255.255.0 host 192.168.200.1

实现伪装

ip nat source list nat_to_100 interface FastEthernet0/1 overload

(注:fasterethernet0/1即为192.168.100.254的接口)

这样配置以后,所有来自192.168.1.0到192.168.200.1的数据会先做一个nat,再经过路由器的默认路由检查是,会认为是从192.168.100.254发出的数据包,顺利经过×××。


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:解决BeanUtils.copyProperties无法成功封装的问题
下一篇:整合网络平台 思科云战略平台以用户为中心
相关文章

 发表评论

暂时没有评论,来抢沙发吧~