三層網(wǎng)絡(luò)通過雙網(wǎng)絡(luò)出口發(fā)布網(wǎng)站方案(下)

2019-11-04 21:26:00

字體：大中小

供稿：網(wǎng)友

　　三、初步方案
　　
　　　　直接在PIX防火墻的第二個接口接電信網(wǎng)。
　　
　　　　因?yàn)楸鞠到y(tǒng)一共有5個需要發(fā)布的服務(wù)器。目前已經(jīng)通過聯(lián)通發(fā)布了兩個?，F(xiàn)在加接了電信鏈路，意味著還需要通過電信發(fā)布三個服務(wù)器。而這些服務(wù)器都是要公網(wǎng)任何地方都可以訪問的，所以要求服務(wù)器的返回路由設(shè)置必須是0.0.0.0 0.0.0.0（所有地址）。
　　
　　　　本來以為PIX可以設(shè)置兩臺默認(rèn)路由。當(dāng)我加上：
　　　　pix(config)# route outside2 0.0.0.0 0.0.0.0 e.f.g.233 1
　　　　系統(tǒng)顯示：
　　　　cannot add route entry
　　
　　　　顯然這種方法是不行的了。假如我只做：
　　
　　　　pix(config)# route outside2 e.f.g.0 255.255.255.0 e.f.g.233 1
　　　　那么意味著只有e.f.g.0 這個段可以訪問outside2，而且用戶通過NAT上網(wǎng)時，碰到這一段也會從outside2走。
　　
　　　　假如這樣做，我放在outside2的服務(wù)器就談不上公網(wǎng)訪問了。
　　
　　四、方案二：增加一個路由設(shè)備
　　
　　　　通過PIX第二口連接電信的方案失敗了，仔細(xì)想了一下，并在juechen70同志的指導(dǎo)下，開始嘗試第二種方案：
　　
　　　　增加一個接入設(shè)備。如圖
　　

　　使用cisco2621 路由器E0接入電信網(wǎng)絡(luò)。E1放到VLAN1中，地址設(shè)為10.10.10.2。
　　CISCO 2621 部份配置：
　　------------------------------------------------ip nat static & route----------------------------
　　ip nat inside source list 1 interface FastEthernet0/0 overload
　　ip nat inside source static 10.10.10.36 e.f.g.237
　　ip nat inside source static tcp 10.10.10.4 21 e.f.g.236 21 extendable
　　ip nat inside source static tcp 10.10.10.4 80 e.f.g.236 80 extendable
　　ip nat inside source static 10.10.10.34 e.f.g.235
　　ip classless
　　ip route 0.0.0.0 0.0.0.0 e.f.g.233
　　ip route 10.10.10.0 255.255.255.0 FastEthernet0/1
　　ip route 10.10.11.0 255.255.255.0 FastEthernet0/1
　　ip route 10.10.12.0 255.255.255.0 FastEthernet0/1
　　ip route 10.10.13.0 255.255.255.0 FastEthernet0/1
　　-------------------over-------
　　并在4006的三層模塊上加上一條：
　　ip route 0.0.0.0 0.0.0.0 10.10.10.2 1
　　4006上就有兩條默認(rèn)路由（是支持的）。
　　ip route 0.0.0.0 0.0.0.0 10.10.10.1 1
　　ip route 0.0.0.0 0.0.0.0 10.10.10.2 1
　　
　　　　這樣看來，似乎網(wǎng)站訪問應(yīng)該正常的了。
　　
　　　　比如公網(wǎng)中H1主機(jī)（地址：61.32.23.12）通過電信網(wǎng)訪問服務(wù)器10.10.10.4 ，而10.10.10.4 服務(wù)器通過10.10.10.249網(wǎng)關(guān)到默認(rèn)路由10.10.10.2，再經(jīng)原路返回到61.32.23.12。
　　
　　　　理論上，這種方案是可行的。
　　
　　　　同樣的原理， H1主機(jī)訪問聯(lián)通中的10.10.10.3，也會以同樣的路由返回。
　　
　　　　但經(jīng)過一個小時的試用，發(fā)現(xiàn)了兩個問題：
　　
　　　　返回路由混亂。
　　
　　　　例如公網(wǎng)上有H1訪問通過PIX（聯(lián)通）訪問10.10.10.3，而10.10.10.3卻通過10.10.10.2（電信）返回。這樣H1就收不到10.10.10.3返回的包。
　　
　　　　路由器NAT查看方式：
　　cisco2621#sh ip nat trans
　　PRo Inside global Inside local Outside local Outside global
　　tcp e.f.g.234:80 10.10.10.3:80 218.18.124.152:3637 218.18.124.152:3637
　　tcp e.f.g.234:80 10.10.10.3:80 61.41.131.164:37721 61.41.131.164:37721
　　--- e.f.g.235 10.10.10.34 --- ---
　　--- e.f.g.237 10.10.10.36 --- ---
　　tcp e.f.g.236:21 10.10.10.4:21 --- ---
　　tcp e.f.g.236:80 10.10.10.4:80 --- ---
　　tcp e.f.g.236:80 10.10.10.4:80 218.18.38.26:4512 218.18.38.26:4512
　　tcp e.f.g.236:80 10.10.10.4:80 218.10.169.230:1627 218.10.169.230:1627
　　tcp e.f.g.235:21 10.10.10.34:21 202.104.219.59:60945 202.104.219.59:60945
　　tcp e.f.g.236:80 10.10.10.4:80 221.1.151.134:2240 221.1.151.134:224
　　　　注重，2621路由并沒有做到10.10.10.3的static NAT。

　　
　　　　2、inside用戶上網(wǎng)速度減慢
　　
　　　　因?yàn)樗蠽LAN用戶都通過三層交換連網(wǎng)。而三層交換又有兩個默認(rèn)的路由。
　　
　　　　所以當(dāng)用啟訪問某網(wǎng)站時，三層交換會事先traceroute網(wǎng)絡(luò)，再找出合適的路由返回給用戶，這個中間所需要時間就非常長了。
　　
　　　　路由模塊尋址：
　　1 a.b.c.129 0 msec
　　10.10.10.2 4 msec
　　a.b.c.129 0 msec
　　2 e.f.g.233 4 msec
　　vlan2.ahwh.cnuninet.net (211.91.108.62) 4 msec
　　e.f.g.233 4 msec
　　3 *
　　61.190.251.53 0 msec
　　61.241.128.49 4 msec
　　4 202.102.205.233 4 msec
　　61.241.128.5 4 msec
　　202.102.205.233 4 msec
　　5 211.94.44.81 8 msec
　　202.97.41.105 8 msec
　　211.94.44.81 4 msec
　　6 p-14-0-r2-c-jsnj-1.cn.net (202.97.37.114) 8 msec
　　211.94.42.41 88 msec
　　p-14-0-r2-c-jsnj-1.cn.net (202.97.37.114) 4 msec
　　7 211.94.40.13 164 msec
　　202.97.35.13 12 msec
　　211.94.40.13 188 msec
　　8 202.97.34.45 40 msec
　　219.158.28.73 176 msec
　　202.97.34.45 40 msec
　　9 219.158.11.121 108 msec
　　202.96.12.42 288 msec
　　219.158.11.121 108 msec
　　10 202.106.192.174 292 msec
　　202.96.12.34 60 msec
　　202.106.192.174 292 msec
　　11 202.106.192.226 116 msec
　　210.74.176.158 292 msec
　　202.106.192.226 124 msec
　　12 *
　　202.106.192.174 108 msec
　　www.sina.com.cn (202.108.37.42) 288 msec
　　4006-l3#
　　五、修改路
　　
　　　　在上述方案中，雙默認(rèn)路由已經(jīng)不能通過。經(jīng)過在cisco CCO上大量的資料查閱之后，頭腦中昏昏沉沉，總是想著返回路由的問題，不過仍然沒有答案。 icewind也提示使用route-map或者來ACL限制，不過總感覺是不對的，因?yàn)閞oute-map最終服務(wù)于內(nèi)網(wǎng)用戶上網(wǎng)，以內(nèi)部先發(fā)出連接為主。
　　
　　　　做為網(wǎng)站訪問，只能形成公網(wǎng)上的死區(qū)（訪問不到）。而ACL應(yīng)用應(yīng)該是使用在路由之后的，路由不能選擇，也就談不上ACL（個人感覺，可能不對）。
　　
　　　　看來服務(wù)器經(jīng)過了三層交換之后，就不太輕易返回路由了。假如把服務(wù)器的網(wǎng)關(guān)直接指向出網(wǎng)的路由器行不行呢？
　　
　　　　修改方案：
　　
　　　　將服務(wù)器10.10.10.36 、10.10.10.4 、10.10.10.34 網(wǎng)關(guān)修改為10.10.10.2。
　　
　　　　這樣等于服務(wù)器直接出公網(wǎng)，不經(jīng)過三層交換。這樣外網(wǎng)就可以訪問到了。
　　
　　　　本來我非常擔(dān)心這樣做會導(dǎo)致內(nèi)網(wǎng)其他網(wǎng)段不能訪問該服務(wù)器，不過經(jīng)過一段時間的檢測之后，發(fā)現(xiàn)其他網(wǎng)段也是可以訪問的。
　　
　　　　主要是因?yàn)?0.10.10.2也做了返回的路由，如下：
　　
　　ip route 10.10.11.0 255.255.255.0 FastEthernet0/1
　　ip route 10.10.12.0 255.255.255.0 FastEthernet0/1
　　ip route 10.10.13.0 255.255.255.0 FastEthernet0/1
　　
　　　　這個可以保證在這個地址范圍內(nèi)的主機(jī)訪問該服務(wù)器，也由10.10.10.2返回給三層路模塊，再回到發(fā)出請求的主機(jī)。
　　
　　　　以上也可通過ping來看出：
　　10.10.13.25的主機(jī)ping 10.10.10.4
　　
　　C:/>ping 10.10.10.4
　　
　　Pinging 10.10.10.4 with 32 bytes of data:
　　Reply from 10.10.10.4: bytes=32 time<10ms TTL=253
　　Reply from 10.10.10.4: bytes=32 time<10ms TTL=253
　　Reply from 10.10.10.4: bytes=32 time<10ms TTL=253
　　Reply from 10.10.10.4: bytes=32 time<10ms TTL=253
　　Ping statistics for 10.10.10.4:
　　Packets: Sent = 4， Received = 4， Lost = 0 (0% loss)，
　　Approximate round trip times in milli-seconds:
　　Minimum = 0ms， Maximum = 0ms， Average = 0ms
　　　　其中TTL(生存時間)=253，表示經(jīng)過兩跳路由，證實(shí)結(jié)果是對的。
　　
　　　　后記：到這兒，本系統(tǒng)的配置應(yīng)該就算全部完成了，最后的解決方案卻很簡單，只是修改了服務(wù)器的網(wǎng)關(guān)。但我認(rèn)為經(jīng)過前面的過程卻必不可少，可以更好的把握關(guān)于靜態(tài)路由方面的知識。
　　
　　　　當(dāng)然，在這個系統(tǒng)中其他網(wǎng)段用戶的上網(wǎng)還只能通過PIX，不能使用電信線路。諸位看官有什么好的方法呢？
　　
　　　　另外，在路由器的能不能智能分辨路由的方向，而辨認(rèn)出是內(nèi)網(wǎng)訪問還是外網(wǎng)，并對所測出的情況進(jìn)行路由選擇？假如是內(nèi)網(wǎng)，則使用做好的route-map，假如是外網(wǎng)訪問，則使用原來的返回路徑。

上一篇：思科城域光聯(lián)網(wǎng)解決方案(下)

下一篇：三層網(wǎng)絡(luò)通過雙網(wǎng)絡(luò)出口發(fā)布網(wǎng)站方案(上)