北京用电信通的解决方法
本帖最后由 cgfans999 于 2009-10-22 09:45 编辑10/22日更新
今早上我们掉线了
然后和电信通的人联系了一下
发现绑定公网ip的情况还要再注意一下。
比如,如果你公网绑定的ip是 122.200.1.2 ,那么结点上的路由是这样写的
ip route add 122.200.1.2 255.255.255.252 122.200.70.1
明白了吧,所谓的绑定4个地址,其实只有122.200.1.2和122.200.1.5可以做NAT用。用了其它的ip就会出问题。因为122.200.1.3以成为广播地址了。而122.200.70.4和124.205.94.5也很危险,因为可能还有一条路由是
ip route add 122.200.1.4 255.255.255.252 122.200.70.1
也就是说,一定得确认好你们的配置,不然表面上看能用了,几个小时就会断。
---------------------------------
电信通在北京为网吧和公司提供接入,但他们为了控制大网路由,怕下面特别是网吧没有技术人员,搞乱大网路由,所以采用了一种私网转公网的路由方法,当然这也是配合网监处,因为网关在私网上,所以都能直接抓包了。
电信通对网吧来说是强制的,对企业来说是地面资源无法选择的。
不过电信通一般都会带着Cisco设备,例如2811里作这个私网转公网的配置就非常方便。只要几条路由就搞定
但是
我们用ROS的怎么办呢!!!
之前也很多人提过吧,但其实走电信通用ROS也算挺非主流的。不过还是有人有这个问题,为了给大家省那8000多买2811的钱(当然一台H3C 20-10才2000多),这就正式说一下电信通的解决方法。
原理很简单,就是NAT转换之间的关系搞明白就好,路由貌似有点复杂,大家自己体会吧。我也尽量说实现方法,无脚本、无图、无视频。
废话还没说完呢,这里说下电信通的路由方案。其实有两种
A 私网转公网
你会得到一个私网IP、掩码、网关和一组公网IP、掩码。把接入的口上设置成私网的IP,路由把网关指成私网的网关。下面用公网IP就能上网了。
这种方法对企业来说,没个高级路由器还真不支持
B 公网走1:1 NAT
你会得到一组公网IP,但只有绑定的几个可以上网,非绑定的要用绑定的IP做NAT才能用。
产生的问题
1.企业怎么配NAT上网
2.公网IP配成邮件被对方的MTA认成SRC NAT网关的IP而拒收,特别是新浪、雅虎。
2.9版本
说实话2.9.x版本这方法在逻辑上是不成立的,好在这种缺点让设置起来更简单。
1)插着电信通接入网线的网卡设置成私网IP(或绑定的公网IP) 比如 174.0.1.2(122.200.1.2)
2)指一条路由 0.0.0.0/0 174.0.1.1(122.200.1.1) #私网网关或是公网网关
3)如果是私网模式跑NAT给内网-----给接入口的网卡再加上一个公网IP,在ip fw里加上遮罩。然后下面就能用了。
4)如果是公网绑ip模式,直接在ip fw里加上遮罩,OK
5)要用公网ip的话,加一条路由"你的网段(IP/掩码)" getway="你接入口的公网(绑定的公网)地址"。然后在ip fw里把公网的ip也要加一条nat,chain里选src-nat,然后action里直接accept就行了。
下面的机器直接用公网ip,网关写接入口的公网(绑定的公网ip)地址,直接出公网,做邮件之类的就不会被识别成scrip了。
3.x版本
好像3.11之前还是能用2.9.x方案的。只是好像,我没装过最稳定的3.11
3.20/3.22(我们都是这个版本吧),路由的逻辑和Juniper的设备就很像了,用2.9.x的方法的话,网关ping不通,或是指定的主机不存在。以前在NS204上配,是用指定路由然后源地址贴公网地址的方式实现的,其实也有邮件不能发新浪、雅虎的问题。好在后来用1000了,实现了路由直接出口。好了回来说ROS 3.20怎么实现。
其实就是这个烦人的逻辑,内网网卡的子网的ip段和外网网卡地址在一个ip段里,在2.9是可以实现内网直接和外网网卡通信的,3.2x不行了,所以我们手动再建一个子网来让内网网卡和公网网卡通信就行。
内网网卡增加一个公网ip(如果是绑定公网ip的,要用绑定的ip),然后3.2x的路由以不能 122.200.1.1/28 这样写,要和Cisco一样一条一条的写。要用公网ip就要写成
ip route add dst=122.200.1.5/32 gateway=122.200.1.2(内网网卡的公网ip)。一个ip行的写全才行,ip fw不用动。这样内网的机器设置成公网ip就能上网了,网关别忘了写成122.200.1.2,不会有邮件问题。
基本如此,还有问题的话邮件 cross874(AT)gmail.com
至于什么借线 双AD和脚本之类的我可不会 恩,对北京的用户很有帮助。我一开始也奇怪,电信通给网吧全部是公网IP,可是跟踪路由发现下一跳往往是172.29.*.*的私网IP。后来慢慢琢磨一来肯定是为了节省公网IP,二来也防止公网攻击。 我在北京两家公司都为这个电信通的事头疼了,现在公司的NAT网关坏了,H3C的新设备又要下个月才能批下来钱,所以就用ROS顶一个月,ROS万能论,现在汇聚和路由NAT全在这破机器上跑。
电信通给网吧的,实实在在就是公网ip,这是北京网监局的政策,这样私网的模式说白了还是为监控方便,真是一种IPv4的资源都不省。防攻击就更别提了,因为就是路由多了几跳,外部攻击防不了,最多防防白痴网管。实际上这种结构的话,结点太多,所以结点的性能就不太好,几百兆的DDoS就能冲垮,企业用挺危险的 呵呵,北京网吧全部公网真羡慕,我托网通机房熟人加送礼才搞了一个C段。254个IP。电信通资源真好,IP富裕,听说北京网吧只能用电信通的。呵呵。我刚开始搞小区宽带时有电信通销售和我谈过,不过百度下看用户对他们评价很差没有选择。网通贵,但是服务质量很高。所以我一直用网通。电信通的优点是南北双线,缺点是机房爱断网。一打电话告诉你上级机房维护,呵呵。 呵呵,没有办法.垄断吗?
页:
[1]