lan-lan地址映射原理及配置案例.pdfVIP

Lan-Lan 地址映射原理及配置案例 Lan-Lan 地址映射原理及配置案例 应用场景 局域网内部有服务器对外发布，基于对服务器的保护，内网用户也需要通过公网IP 来 访问内网服务器。如图： 简易拓扑图 需求：内部web server(IP:10.1.1.222:80)映射到公网(221.221.153.154:80)，内网PC(10.1.1.220) 需要通过221.221.253.154 来访问web server 。 文中使用的数据包格式: 目的IP 目的端口 源IP 源端口 1 / 5 Lan-Lan 地址映射原理及配置案例 数据流走向分析：PC(10.1.1.220)通过公网地址(221.221.153.154)访问web server 时需要将目 的地址转换成 10.1.1.222 数据包才能转回到内网，否则数据包出公网将找不到真实的 web server，所以要在PatrolFlow 上做基于目的地址的NAT 转换(DNAT)。 只在PatrolFlow 上做一次DNAT，数据包的转发流程如下： 只做DNAT 的数据流程 第一步：PC 封装目的IP 是221.221.153.154 的数据包发出； 第二步：数据包到达PatrolFlow 后匹配DNAT 规则将目的IP 转换为10.1.1.222; 第三步：数据包到达web server 后web server 按照源IP(10.1.1.220)回复，PC 收到web server 回复的报文后发现源IP 并不是请求的目的IP(221.221.153.154)，会丢弃数据包，故PC 访问 web server 失败。 从上述的过程可以看出，要实现内网PC 通过公网地址访问内网web server 只做DNAT 是不够的，需将web server 回复的报文发给网关，再由网关转发给PC，这时需要对源地址 做NAT,即SNAT 。如下图： 2 / 5 Lan-Lan 地址映射原理及配置案例 DNAT 和SNAT 第一步：PC 封装目的IP 为221.221.153.154 发出，数据包的格式为： 221.221.153.154 80 10.1.1.220 6023 数据包到达PatrolFlow 做DNAT，数据包的格式为： 10.1.1.222 80 10.1.1.220 6023 第