请问专家山石安全网关怎么配置两段公网地址在同一个外网接口，并做NAT转发。

Posted 2023-05-07

两段公网地址如：第一段：221.97.122.11/255.255.255.248 电信网关221.97.122.10
第二段：221.97.122.117/255.255.255.248 电信网关221.97.122.176
如果是路由器应该怎么配置呢？

做NAT只需要使用一个外网IP地址，并且把这个IP地址配置到外网接口，在安全网关上配置一条默认路由指向电信网关。另一个网段可以在你的安全网关上开启一个DMZ区域以连接你的各种服务器即可。追问

能不能说的详细些呢？DMZ区域怎么配置另一段公网地址。

追答

一般在安全网关上都有三类接口：内网接口连接内部网络，配置NAT实现内网的对外访问，外网接口连接运营商的网络，而DMZ口连接DMZ区域，该区域内部署服务器。这样每一个接口都配置相应网段的IP地址。你可以根据你们单位的网络规划配置即可。

参考技术A 第一段：221.97.122.11/255.255.255.248 电信网关221.97.122.10
第二段：221.97.122.117/255.255.255.248 电信网关221.97.122.176 参考技术B http://wenku.baidu.com/link?url=y2qcmBYDki8UxmRC6FleMyw53t2b1KdpGmLy7WYtEV8t0XB5imNRdv9sAiH8vz7FAEyU23W6UWrY4kqxsOD9uUg5oXKbMbOYKxAIC9efY4K

【性能】如何优化 NAT 性能？

参考技术A NAT 技术可以重写 IP 数据包的源 IP 或者目的 IP，被普遍地用来解决公网 IP 地址短缺的问题。它的主要原理就是，网络中的多台主机，通过共享同一个公网 IP 地址，来访问外网资源。同时，由于 NAT 屏蔽了内网网络，自然也就为局域网中的机器提供了安全隔离。

你既可以在支持网络地址转换的路由器（称为 NAT 网关）中配置 NAT，也可以在 Linux 服务器中配置 NAT。如果采用第二种方式，Linux 服务器实际上充当的是“软”路由器的角色。

Linux 内核提供的 Netfilter 框架，允许对网络数据包进行修改（比如 NAT）和过滤（比如防火墙）。在这个基础上，iptables、ip6tables、ebtables 等工具，又提供了更易用的命令行接口，以便系统管理员配置和管理 NAT、防火墙的规则。

其中，iptables 就是最常用的一种配置工具。要掌握 iptables 的原理和使用方法，最核心的就是弄清楚，网络数据包通过 Netfilter 时的工作流向。

熟悉 iptables 中的表和链后，我们以 NAPT 的三个分类为例，来具体解读一下：

在使用 iptables 配置 NAT 规则时，Linux 需要转发来自其他 IP 的网络包，所以你 千万不要忘记开启 Linux 的 IP 转发功能 。

Linux 中的 NAT ，基于内核的连接跟踪模块实现。所以，它维护每个连接状态的同时，也会带来很高的性能成本，对网络性能有一定影响。

那么，碰到 NAT 性能问题时，我们又该怎么办呢？

SystemTap  是 Linux 的一种动态追踪框架，它把用户提供的脚本，转换为内核模块来执行，用来监测和跟踪内核的行为。关于它的原理，你暂时不用深究，这里你只要知道怎么安装就可以了。

# yum   -y  install systemtap kernel-devel

# yum info  systemtap 

我们之前使用 tcpdump 抓包的方法，找出了延迟增大的根源。那么今天的案例，我们仍然可以用类似的方法寻找线索。不过，现在换个思路，因为今天我们已经事先知道了问题的根源——那就是 NAT。

回忆一下 Netfilter 中，网络包的流向以及 NAT 的原理，你会发现，要保证 NAT 正常工作，就至少需要两个步骤：

这个脚本，跟踪内核函数 kfree_skb() 的调用，并统计丢包的位置。

文件保存好后，执行下面的 stap 命令，就可以运行丢包跟踪脚本。

这里的 stap，是 SystemTap 的命令行工具：

#  man 1 perf-record

###############################################################

-a, --all-cpus

          System-wide collection from all CPUs (default if no target is specified).

-g

          Enables call-graph (stack chain/backtrace) recording

#################################################################

在 perf report 界面中，输入查找命令 / 然后，在弹出的对话框中，输入 nf_hook_slow；最后再展开调用栈，就可以得到下面这个调用图：

不过，你可能还是很好奇，连接跟踪表里，到底都包含了哪些东西？这里的东西，又是怎么刷新的呢？

实际上，你可以用 conntrack 命令行工具 ，来查看连接跟踪表的内容。

# yum provides conntrack

# yum  -y install conntrack-tools

#  yum info   conntrack-tools

#  conntrack -L -o extended | wc -l

#  conntrack -L -o extended | awk '/^.*tcp.*$/ sum[$6]++ END for(i in sum) print i, sum[i]'

#  conntrack -L -o extended | awk 'print $7' | cut -d "=" -f 2 | sort | uniq -c | sort -nr | head -n 10

因为NAT 基于 Linux 内核的连接跟踪机制来实现，所以在分析 NAT 性能问题时，我们可以先从 conntrack 角度来分析，比如用 systemtap、perf 等，分析内核中 conntrack 的行文；然后，通过调整 netfilter 内核选项的参数，来进行优化。

其实，Linux 这种通过连接跟踪机制实现的 NAT，也常被称为有状态的 NAT，而维护状态，也带来了很高的性能成本。

所以，除了调整内核行为外，在不需要状态跟踪的场景下（比如只需要按预定的 IP 和端口进行映射，而不需要动态映射），我们也可以使用无状态的 NAT （比如用 tc 或基于 DPDK 开发），来进一步提升性能。

案例篇：如何优化 NAT 性能？（上）

https://time.geekbang.org/column/article/83189

案例篇：如何优化 NAT 性能？（下）

https://time.geekbang.org/column/article/83520