目前我们正在ASA9上运行冗余IP连接。 我们很乐意configurationip sla以便互联网接入能够承受单一运营商的中断。 我知道ip sla命令,但是当我尝试预先填充所需的NAT规则时,第二个规则的添加会覆盖第一个。 这里是一个例子: object network NYHQ_GUESTWIRELESS_10.110.6.0_24 nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_FIOS) dynamic interface 当我尝试添加额外的NAT规则时,也许 nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_COGENT) dynamic interface 新规则覆盖了先前存在的规则,如下所示: object network NYHQ_GUESTWIRELESS_10.110.6.0_24 nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_COGENT) dynamic interface 有什么方法可以使这两条规则就绪,以便NAT可以与我们的SLA规则合作,以确保无论使用哪个提供商,NAT仍然正常工作?
我了解每个IP地址拥有65,535个端口的最初原因:这是16位或2字节数字所能代表的最高数字,并且计算机永远无法获得更多比那些像港口这样微不足道的东西,或类似的东西。 实际上每个端口可能需要多于1个位,因为每个端口可以被打开,阻塞,“潜行”等等,但是由于某些原因,人们总是说端口以16位数字来操作。 如果我有这个错误的任何部分,一定要告诉我。 然而,在大多数计算机都是32位的世界里,有足够的内存空间可以腾出更多的端口,为什么我们仍然拥有这么多的端口呢? 我们正在转向HTML5,HTTP2.0,IPv6和其他完全不同的版本,那么为什么与端口不一样呢? 其中许多允许多于16位; 实际上,IPv6允许16 个字节 ! 据我所知,其中许多是几年甚至几十年,但为什么这些升级的喋喋不休,甚至没有窥视更多的港口(我,业余,听说过)? 我能看到的保留65535个端口的唯一两个理由是让大企业保留旧的遗留系统,这不是一个好的理由,embedded式系统的兴起,其中许多是微小的,只有很less的空间,内存等。 ,即将上网,很多是物联网的一部分。 有了这些embedded式系统,也许我们可以让它们拥有更less的端口,而当一台大型台式电脑试图连接到一台时,可以说它是温和的,因为婴儿embedded式系统只能使用约65,000个端口。 另一方面,我可以想出几个很好的理由来获得更多的端口,大部分都与NAT和其他系统有关,在这些系统中,超过一个私有IP地址必须使用相同的公共IP地址与其余的Internet进行通信,像在同一台计算机上的虚拟机的崛起,所有使用相同的IP地址。 从技术上讲,每个虚拟机IP地址有65535个端口,但实际上它们都使用主机的端口。 在这种情况下,这些系统可能会很快耗尽端口。 另一个具体情况是运营商级NAT,其中一个公共IP地址被转换成多个私有IP地址,并且这些私有地址中的至less一个被转换成另一组甚至更多的私有地址。 同样,每个私有IP地址在技术上都有其自己的一组65355个端口,但是这是一种幻想,因为当数据传到公共互联网时,它们正在使用公共IP端口。 我不确定我们是否一定需要NAT,但是我们需要类似的东西来保存地址,即使大量的IPv6会给我们。 当我们遇到这样的情况时,我们可以承担不超过65535个端口吗? 那么,为什么我们仍然只有65535个港口,还有什么计划让更多? 附言我知道有技术上每个IP地址65536个端口,但端口0通常不用于任何东西。
公司通常会让很多用户共享一个公共IP地址? 我希望答案是“不是很常见”,因为我正在开发取决于ip号码的软件非常独特。
我有FreeBSD路由器: #uname 9.1-STABLE FreeBSD 9.1-STABLE #0: Fri Jan 18 16:20:47 YEKT 2013 这是一个function强大的计算机,拥有大量的内存 #top -S last pid: 45076; load averages: 1.54, 1.46, 1.29 up 0+21:13:28 19:23:46 84 processes: 2 running, 81 sleeping, 1 waiting CPU: 3.1% user, 0.0% nice, 32.1% system, 5.3% interrupt, 59.5% idle Mem: 390M Active, 1441M Inact, 785M Wired, 799M Buf, 5008M […]
我正在尝试安装OpenVPN tun来连接两个局域网 打开的VPN连接已经启动,但是我的路由或NAT有问题。 我需要的是一个在服务器和客户端应该看起来像什么样的路由openvpn设置的例子。 主要路由表,Nat翻译,防火墙等 这是我的工作: 我的OpenVPN客户端可以访问服务器端的networking,但是我的服务器甚至无法ping通我的OpenVpn客户端的eth0 我的服务器路由: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 0 eth0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 […]
这应该是简单的死亡,但对于我的生活,我无法得到它的工作。 我一定在做一些愚蠢的事情。 我有一个公共IP地址的PFsense服务器。 背后是三个局域网段: [ Internet ] <—> [ pfSense] +—– 192.168.1.1/24 —> (multiple servers) +—– 192.168.2.1/24 —> (multiple servers) +—– 172.16.1.1/24 —> (multiple machines) 我在pfSense服务器后面有一个地址为192.168.1.31的新服务器,我想给它一个公共IP。 我以为我会做1:1的NAT,但不pipe我曾经尝试过,这是行不通的。 以下是我所做的: 在pfSense中,我使用新的公共IP向WAN接口添加了一个虚拟IP。 我第一次使用“IP别名”types。 我添加了一个1:1的NAT规则,新的公网IP作为外部子网, 192.168.1.31/32作为内部子网。 我在WAN接口上添加了防火墙规则,协议TCP,目标地址为192.168.1.31/32 ,端口范围为HTTP – HTTP 。 我也是在4000s的另一个端口上运行SSH的。 完成以上所有操作后,我无法通过HTTP访问新的IP,也无法通过我select的备用SSH端口将SSH连接到新计算机上。 我将虚拟IP更改为“代理ARP”,然后更改为“其他”,但这两者都不工作… 奇怪的是,如果我在192.168.1.31:22上运行SSH服务器,我可以通过 SSH连接到22端口上的新IP。 但是我不能去任何其他港口。 我在这里做错了什么?
我已经读过这个问题 ,但对称NAT的解释还不够详细。 请有人能帮我理解下面的段落吗? 我读了关于对称NAT的这个: 如果同一个内部主机发送一个数据包,即使源地址和端口号相同,但是到不同的外部源IP地址和端口,每个来自同一个内部IP地址和端口的请求也会映射到一个唯一的外部源IP地址和端口目的地,使用不同的映射。 只有从内部主机接收数据包的外部主机才能发回数据包。 http://en.wikipedia.org/wiki/Network_address_translation#Types_of_NAT 而这个关于UDP Hole-punching : 对于在大型企业networking中常见的对称NAT设备(也称为双向NAT),UDP打孔不起作用。 在对称NAT中,与连接到知名STUN服务器相关联的NAT映射受限于从知名服务器接收数据,因此知名服务器看到的NAT映射对端点来说并不是有用的信息。 http://en.wikipedia.org/wiki/UDP_hole_punching 但我并没有真正吸收它。 我感觉到它告诉我(在客户端启动通信的客户端 – 服务器应用程序中),除非NAT设备明确允许,否则服务器不能以另一种方式进行通信。 我不明白为什么这就是它的意思。 如果可能的话,你能简化一下这个描述吗? 在我们的环境中,我们遇到了一个问题,一个知名的远程支持工具不能被同样知名的软件供应商用来为我们提供支持。 客户端是代理感知的,但对于某些共鸣,它认为不使用它可能是一个好主意,并通过端口1153上的UDP做一些完全不同的事情。
我在VPC的Amazon EC2内部有一组服务器。 在这个VPC内部,我有一个私有子网和一个公有子网。 在公共子网中,我在t2.micro实例上build立了一个基本上运行这个NAT脚本的NAT机器,将规则注入到iptables中。 从私人子网内的机器上从互联网上下载文件可以正常工作。 但是,我将直接从我的NAT机器上的外部高带宽FTP服务器上的文件的下载速度与我私有子网内的机器(通过同一个NAT机器)的下载速度进行了比较。 有一个非常显着的差异:从NAT机器大约10MB / s,从私有子网内的机器下载1MB / s。 NAT机器上没有CPU使用,所以这不是瓶颈。 当用较大的机器(具有“中等networking性能”的m3.medium和具有“高networking性能”的m3.xlarge)尝试相同的testing时,我也不能获得大于2.5MB / s的下载速度。 这是一个一般的NAT问题,可以(也应该)调整? performance下降从何而来? 更新 通过一些testing,我可以缩小这个问题的范围。 从2013年起,当我使用Ubuntu 12.04或Amazon Linux NAT机器时,即使在最小的t2.micro实例上,一切运行也能顺利进行,并获得完整的下载速度。 无论我使用PV还是HVM机器都无关紧要。 这个问题似乎与内核有关。 这些旧机器具有内核版本3.4.x,而较新的Amazon Linux NAT机器或Ubunut 14.XX具有内核版本3.14.XX。 有什么方法可以调整较新的机器吗?
我正在考虑在思科ASA背后设置一个DMZ,它将包含大量的HTTP前端负载均衡器和SSL卸载服务 – 超过100个IP,主要集中在less量的主机上。 在过去,我将所有主机放在RFC1918专用IP上,并为每个通常在DMZ中公开的服务添加了静态映射(IP-by-IP)。 由于我们已经开始以足够快的速度添加额外的DMZ IP,使得每个IP地址单独设置变得令人讨厌,这已经变得非常烦人。 我想对其进行更改,以便整个DMZ子网设置为允许来自外部的HTTP和HTTPS – > dmz,以便负载平衡器可以根据需要抓取新的IP,而不必每次都更新ASAconfiguration。 我现在想知道的是DMZ是否在RFC1918子网上,在整个子网上使用静态NAT,还是我应该让DMZ直接分配外部IP,而仅仅依靠访问列表和身份NAT / NAT免除。 一些粗糙的ASCII艺术品: 使用直接外部IP地址的示例: Internet —> ASA —> Internal(10.1.0.0/16) | + —–> DMZ(1.2.3.0/24) 使用NATed IP地址的示例: Internet —> ASA —> Internal(10.1.0.0/16) | (1.2.3.0/24)+ —–> DMZ(10.99.0.0/24) 我看到使用NAT地址的优点是可移植性 – 如果我的上游提供者和分配改变了,我不需要重新编号我的内部DMZ。 缺点是复杂性 – 现在我必须在自己的networking内部处理内部和外部IP地址等。根据您的经验,哪种设置效果更好?
寻找设备上的推荐(或者我猜测的设备)为我的家庭networking做router / firewall / vpn / vlan / nat functons。 现在,我正在用IPCop盒子做这个,但是我更喜欢less一些。 要求: VLAN来分割stream量(该死的孩子) 传统的防火墙/ NATfunction就像linksys框一样 VPN到家庭的能力,所以我可以通过一个安全的pipe道在路上使用我的笔记本电脑 从Windows / Mac / Linux机器到家 我正在考虑从典型的蓝色方框中提高一些(或者是否足够?)。