Cisco策略路由實現雙位址雙出口 NAT

2021-04-25 06:53:16 字數 4807 閱讀 3920

cisco策略路由實現雙位址雙出口+nat

環境描述:使用裝置為cisco2621xm + ne-1e模組,該配置擁有兩個fastethernet以及乙個ethernet埠。

現使用ethernet 1/0 埠連線內部區域網,模擬內部擁有100.100.23.0 255.255.0.0 與100.100.24.0 255.255.0.0 兩組客戶機情況下基於原位址的策略

路由。

fastethernet 0/0 模擬第乙個isp接入埠,fastethernet 0/1模擬第二個isp接入埠,位址分別為 fastethernet 0/0 的ip位址192.168.1.2 255.255.255.0 對端isp位址192.168.1.1 255.255.255.0

fastethernet 0/1 的ip位址192.168.2.2 255.255.255.0 對端isp位址192.168.2.1 255.255.255.0

通過策略

路由後對不同原位址資料流量進行分流,使得不同原位址主機通過不同isp介面訪問internet,並為不同原位址主機同不同nat位址進行轉換。

具體配置:

version 12.2

service timestamps debug uptime

s效果檢驗:

察看路由 表

router#show ip route

codes: c - connected, s - static, i - igrp, r - rip, m - mobile, b - bgp

d - eigrp, ex - eigrp external, o - ospf, ia - ospf inter area

n1 - ospf nssa external type 1, n2 - ospf nssa external type 2

e1 - ospf external type 1, e2 - ospf external type 2, e - egp

i - is-is, su - is-is summary, l1 - is-is level-1, l2 - is-is level-2

ia - is-is inter area, * - candidate default, u - per-user static route

o - odr, p - periodic downloaded static route

100.0.0.0/16 is subnetted, 1 subnets

c 100.100.0.0 is directly connected, ethernet1/0

c 192.168.1.0/24 is directly connected, fastethernet0/0

c 192.168.2.0/24 is directly connected, fastethernet0/1

s* 0.0.0.0/0 [1/0] via 192.168.1.1

[1/0] via 192.168.2.1

發現靜態

路由 存在兩條路徑!

察看ip nat translations

router#sho ip nat translations

pro inside global inside local outside local outside global

icmp 192.168.1.2:1024 100.100.23.23:1024 1.1.1.1:1024 1.1.1.1:1024

icmp 192.168.2.2:1280 100.100.24.23:1280 1.1.1.1:1280 1.1.1.1:1280

由於路由

器外部存在1.1.1.1的位址,用於模擬internet公網位址,發現不同網段內部主機流量確實已經從不同出口訪問外部資源,並且使用了不同nat進行位址轉換!

注:大部分多isp情況下都要使用nat位址轉換功能,但有些特殊情況下不需使用nat功能,如果不是用nat,就將配置中的有關nat的配置去掉,

如此配置中去掉 ip nat inside source list 1 inte***ce fastethernet0/0 overload 和ip nat inside source list 2 inte***ce fastethernet0/1 overload

以及在埠上去掉ip nat outside和ip nat inside的配置,就可以實現不用nat的策略

路由 。

以上試驗可以實現基於原位址的策略

路由 功能,可以根據內網原位址進行不同流量通過不同isp介面訪問internet的功能,但仍沒有實現雙鏈路相互備份的功能,即當任意一條鏈路出現故障的時候無法自動使用另一條鏈路進行備份,造成一部分相應的內網主機無法訪問外網的情況。

望各位進行討論,希望找到可行性的方法,即能解決策略

路由 問題,又能實現雙鏈路的自動備份功能!ervice timestamps log uptime

no service password-encryption

! hostname router

!! ip subnet-zero

!! call rsvp-sync !

inte***ce fastethernet0/0 --------------------假設該埠為isp 1接入埠

ip address 192.168.1.2 255.255.255.0 --------分配位址

ip nat outside --------指定為nat outside埠

duplex auto

speed auto

! inte***ce fastethernet0/1 --------------------假設該埠為isp 2接入埠

ip address 192.168.2.2 255.255.255.0 --------分配位址

ip nat outside --------指定為nat outside埠

duplex auto

speed auto

! inte***ce ethernet1/0 --------------------假設該埠為內部網路埠

ip address 100.100.255.254 255.255.0.0 --------分配位址

ip nat inside --------指定為nat inside埠

ip policy route-map t0 --------在該埠上使用route-map t0進行策略控

half-duplex

! ip nat inside source list 1 inte***ce fastethernet0/0 overload ------nat轉換,指定原位址為100.100.23.0的主機使用fastethernet 0/0的位址進行轉換

ip nat inside source list 2 inte***ce fastethernet0/1 overload ------nat轉換,指定原位址為100.100.24.0的主機使用fastethernet 0/1的位址進行轉換

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.2.1 ------靜態

路由 ,對internet的訪問通過192.168.2.1(isp2)鏈路

ip route 0.0.0.0 0.0.0.0 192.168.1.1 ------靜態

路由 ,對internet的訪問通過192.168.1.1(isp1)鏈路

靜太路由 不起很大的作用,因為存在策略

路由 ,主要是set int 要求有顯示的去往目的的

路由

! access-list 1 permit 100.100.23.0 0.0.0.255 ----訪問控制列表1,用於過濾原位址,允許100.100.23.0網段主機流量通過 (

用來做策略路由)

access-list 1 permit any (用來做nat備份)

access-list 2 permit 100.100.24.0 0.0.0.255 ----訪問控制列表2,用於過濾原位址,允許100.100.23.0網段主機流量通過 (用來做策略路由)

access-list 2 permit any

(用來做nat備份)

如果做set int 備份,則acl1,acl2應該允許所有的,進行nat

route-map t0 permit 10 ----定義route-map t0,permit序列為10 ,

match ip address 1 ----檢查原位址,允許100.100.23.0 網段位址

set inte***ce fastethernet0/0 ----指定出口為fastethetnet 0/0

! route-map t0 permit 20 ----定義route-map t0,permit序列為20

match ip address 2 ----檢查原位址,允許100.100.24.0 網段位址

set inte***ce fastethernet0/1 ----指定出口為fastethetnet 0/1 ! (

dial-peer cor custom !

line con 0

line aux 0

line vty 0 4

! end

本文出自 51cto.com技術部落格

企業路由雙出口,策略路由及冗餘配置

參照本人文章 華為策略路由,實現雙線選路上網 雖然策略路由可以實現根據不同源位址選擇不同運營商網路,可是要是有乙個運營商出現故障時,原來通過策略路由實現連線internet的pc1就會斷開!很多情況下,公司不允許出現斷網情況,但是執行商會有一些不可預估的問題出現 想解決此問題只能使用雙出口,在一條鏈...

使用策略路由手工指定雙鏈路負載

十一期間接到乙個朋友的 要我幫個小忙。將他們公司的伺服器區域使用新從 isp申請下的公網位址進行資料傳輸。使用單獨的線路進行伺服器區域的外網接入,可以將內部的伺服器使用 nat發布到公網上,保證伺服器本身的部分安全。另外,其它區域人員對於出口而言主要是對外訪問,而伺服器區域過多的是被對內訪問。那麼本...

Cisco 3640策略路由配置

3640 show run current configuration version 12.0 service timestamps debug uptime service timestamps log uptime no service password encryption hostname...