实施方案
实施方案
西南政法大学渝北新校区网络拓扑图
SA-5050的高效率NAT
根据西南政法大学校园网IP地址分配情况,仅需要在电信出口执行源NAT(SNAT)。
每一个公网IP地址对应了约60000多个TCP端口和60000多个UDP端口资源,做PAT转换的时候,只要TCP或者UDP的port资源超出60000多个,就需要第2个公网IP地址。特别是在没有针对校园网内每用户IP执行session-limit会话控制的情况下,单个公网IP地址上面的TCP或者UDP的port资源非常容易耗尽。对于数百万会话的SPI防火墙设备,通常需要非常多的公网IP地址用于网络地址转换。
Hillstone SA系列多核安全网关,支持Expanded Port Pool技术,允许在访问目的IP不同的情况下去对PAT中的公网IP地址的端口资源进行复用。SA-5050可以将原有公网IP地址的TCP或者UDP的port资源扩大至16倍左右,大大减轻了对公网IP地址数量的消耗。
同时,通过目的NAT (DNAT)实现公共服务器对外提供 WWW/E-MAIL 等服务。
另外位于沙坪坝老校区的校园网用户希望通过公网域名(或公网IP)来访问渝北校区内网服务器时,是由电信出口通过DNAT进去的,但由于渝北校区内网三层交换机路由设置,导致返回数据包无法交还因而访问失败。针对这种特殊应用场景,我们通过SA-5050同时对其进行DNAT和SNAT操作,确保内网三层交换机把返回数据包交给SA-5050。
网友评论