新浪微博
腾讯微博
豆瓣空间
搜狐微博
QQ空间
腾讯朋友
网易微博
百度搜藏
开心网
告诉聊友“抗A之战”后传——SR66系列路由器NAT日志功能配置
(一)
书接上回,自“忍蛰”头目丧命于江南金陵城一役后,A国残兵节节败退,终退至东海一海岛上。“抗A之战”以C国大获全胜而告终!
之后数百年,两国百姓视若仇敌,互不往来,直到两国新任君主上台后,方悟到和平与发展才是人类的主旋律,两国之间才逐渐恢复交往。
A国地处东海海岛,风景瑰奇秀丽,逐渐成为C国百姓心目中的旅游胜地。此时C国国力强盛,民众富裕,钱币异常坚挺,于是,大量C国百姓前往A国,饮酒赏花,不亦乐乎!一时间人满为患,A国王室应接不暇,疲于奔命。
对此情况,A国王室紧急发布令牌方案,并命名为NAT:
1、A国向C国有关部门提供令牌,令牌共100块,每块上面刻有独一无二的号码。该号码被A国王室承认,并不可更改。
2、每个进入A国的C国公民均需携带该令牌,方可合法与A国公民交流。
3、若进入A国的C国公民没有携带令牌,其自身的C国身份证号码不被A国承认,则此人可能永远无法回归C国。
4、A国公民也可以通过这些令牌,主动和C国内部的部分公民交流。
NAT方案发布后,同一时间最多只能有100名C国百姓进入A国访问,这显然无法满足C国百姓的庞大需求。为此,C国王室张贴告示,征集奇人异士解决此问题,最终,东方大派“华三派”提供了“破解NAT”方案,遂命名为NAPT。
该方案在每块令牌后面增加了一个叫做“端口号”的数字,这样,不同的C国公民,可以持号码相同、端口号不同的令牌,顺利进入A国旅游度假。一时间,C国百姓纷纷称赞“华三派”的神奇方案。
(二)
方案推出后,“华三派”在其当家花旦“SR66系列路由器”(江湖人送爱称“琉琉”)上实现了NAPT功能,遂应用在两国边界出口。
由于两国间人员往来频繁,有部分极端分子,在两国开展破坏行动,妨害两国邦交。为精确打击这些极端分子,C国决定将两国公民所有的互访情况记录下来,以找到这些极端分子的犯罪证据。然而,由于百姓间互访记录繁多,如采用手工记录,速度慢、成本高、效率低。
“华三派”遂在“琉琉”上进一步开发了NAT日志功能,该功能可以自动记录两国百姓之间所有的互访情况,并将记录结果发送给“Server”部门审核。
图1 两国公民互访演示图
为实现NAT日志功能,在“琉琉”上配置如下:
SR6602-X 配置 |
# version 5.20, Release 3303P07 # sysname SR6602-X # userlog flow export version 3 //flow日志报文的版本号为3 userlog flow export source-ip 10.1.1.100 //flow日志报文的源地址为10.1.1.100 userlog flow export slot 0 host 10.1.1.1 9020 //Server的地址为10.1.1.1,接收flow日志报文的端口号为9020 # acl number 3000 rule 0 permit icmp # interface GigabitEthernet0/0/0 nat outbound 3000 //NAPT功能 nat server protocol icmp global 3.3.3.3 inside 10.1.1.101 //NAT Server功能,可以实现A国公民主动访问C国内部特定公民 ip address 3.3.3.2 255.255.255.0 //连接A国 session log enable inbound //接口使能入方向会话日志功能 session log enable outbound //接口使能出方向会话日志功能 # interface GigabitEthernet0/0/1 ip address 10.1.1.100 255.255.255.0 //连接C国 # ip route-static 0.0.0.0 0.0.0.0 3.3.3.1 # |
(三)
配置完毕后,C国王室成员决定检验一下“琉琉”的NAT日志功能是否生效。
在SW上,C国身份证号为10.1.1.101的公民,使用号码为3.3.3.2的令牌,与A国身份证号为1.1.1.1的公民互访:
<H3C>ping 1.1.1.1
PING 1.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 1.1.1.1: bytes=56 Sequence=1 ttl=254 time=4 ms
Reply from 1.1.1.1: bytes=56 Sequence=2 ttl=254 time=2 ms
Reply from 1.1.1.1: bytes=56 Sequence=3 ttl=254 time=2 ms
Reply from 1.1.1.1: bytes=56 Sequence=4 ttl=254 time=2 ms
Reply from 1.1.1.1: bytes=56 Sequence=5 ttl=254 time=2 ms
-- 1.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 2/2/4 ms
A国身份证号为2.2.2.2的公民,使用号码为3.3.3.3的令牌,主动访问C国身份证号为10.1.1.101的公民:
<H3C>ping -a 2.2.2.2 3.3.3.3
PING 3.3.3.3: 56 data bytes, press CTRL_C to break
Reply from 3.3.3.3: bytes=56 Sequence=0 ttl=254 time=2 ms
Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=254 time=1 ms
Reply from 3.3.3.3: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 3.3.3.3: bytes=56 Sequence=3 ttl=254 time=2 ms
Reply from 3.3.3.3: bytes=56 Sequence=4 ttl=254 time=1 ms
--- 3.3.3.3 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/2 ms
访问结束后,可以看到“琉琉”将flow日志报文发送给“Server”部门的记录:
<SR6602-X> display userlog export slot 0
flow:
Export Version 3 logs to log server : enabled
Source address of exported logs : 10.1.1.100
Address of log server : 10.1.1.1 (port: 9020)
Total Logs/UDP packets exported : 43/43
Logs in buffer : 0
此时,可以在“Server”(此处使用“华三派”IMC网管软件为例)上,看到相关访问的记录:
图2 IMC服务器NAT日志记录