S8016多ISP NAT解決方案

1         多ISP簡單組網舉例

校園網內部用戶走默認走教育網出接口，使用教育網提供的NAT地址池EduPool；當教育網出接口發生故障后，自動切換到電信出接口，使用電信提供的NAT地址池TelPool。

默認所有用戶都走教育網出口訪問internet，假如教育網出口down，則用戶走電信出口。

配置兩條靜態路由：

ip route-static 0.0.0.0 0 202.119.36.1 PReference  10

ip route-static 0.0.0.0 0 61.19.20.1 preference  20

對于用戶假如走教育網出口，則使用EduPool；假如用戶走電信出口，則使用TelPool：

nat-list 200 permit 10.10.0.0 0.0.255.255

nat-list 201 permit 10.20.0.0 0.0.255.255

nat address-group 0 slot 2 202.119.36.2 202.119.36.4 description EduPool

nat address-group 1 slot 2 61.19.20.2 61.19.20.4 description TelPool

int vlan 20

nat enable

nat bind list 200 address-group 0 slot 2

nat bind list 201 address-group 0 slot 2

int vlan 60

nat enable

nat bind list 200 address-group 1 slot 2

nat bind list 201 address-group 1 slot 2

2         多ISP復雜需求舉例

如下圖所示，S8016作為整個校園網的出口，擔負整個校園網的地址轉換工作。校園網共有兩個出口，分別接教育網內部的路由器和電信網路由器。校園網內部采用公私網地址混合組網方式，有一些公網地址的服務器，不通過NAT變換，供外部用戶直接訪問。

需要進行NAT變換的用戶從總體上分為教師和學生兩個網段。對于學生來說，正常情況下從教育網出口出去，在教育網出口出現異常時自動切換到電信網出口。并且某些國外網段不答應學生訪問。

對于教師來說，正常情況下從電信網出口出去，在電信網出口發生異常時自動切換到教育網出口。所有的地址均答應教師訪問。

組網圖

多ISP配置舉例2

配置步驟

Vlan的配置這里不作說明。

#配置兩條默認路由，分別通向教育網出口和電信網出口。教育網出口的路由優先級高于電信網出口。

[Quidway] ip route-static 0.0.0.0 0 202.119.36.1 preference  10

[Quidway] ip route-static 0.0.0.0 0 61.19.20.1 preference  20

# 配置兩個公網地址池，分別使用教育網和電信網的地址

[Quidway] nat address-group 0 202.119.36.3 202.119.36.5 slot 2 description EduPool

[Quidway] nat address-group 1 61.19.20.3 61.19.20.5 slot 2 description TelPool

# 配置NAT訪問控制列表

[Quidway] nat-list 200 permit 10.10.0.0 0.0.255.255

[Quidway] nat-list 201 permit 10.20.0.0 0.0.255.255

# 分別在兩個出接口下配置地址池和NAT訪問控制列表的綁定關系。

[Quidway-Vlanif50] nat bind list 200 address-group 0 slot 2

[Quidway-Vlanif50] nat bind list 201 address-group 0 slot 2

[Quidway-Vlanif60] nat bind list 200 address-group 1 slot 2

[Quidway-Vlanif60] nat bind list 201 address-group 1 slot 2

# 配置接口的nat enable狀態。

[Quidway-Vlanif50] nat enable

[Quidway-Vlanif60] nat enable

# 由于教師默認從電信網出口出去，而電信網出口的路由優先級低于教育網出口，所以這里需要作策略路由（關于策略路由請參考《Quidway S8016路由交換機 操作手冊 第二分冊》），且從策略路由走時仍需要做NAT變換

[Quidway] rule-map intervlan ip_Teacher ip 10.10.0.0 0.0.255.255 any

[Quidway] flow-action redirect_to_Tel redirect ip 61.19.20.1 nat-enable

[Quidway] eacl eacl_Teacher ip_Teacher redirect_to_Tel

[Quidway] access-group eacl eacl_Teacher port gigabitethernet 4/0/0

# 限制學生對國外網段207.68.0.0/16、60.10.0.0/16的訪問

[Quidway] rule-map intervlan Student1 ip 10.20.0.0 0.0.255.255 207.68.0.0 0.0.255.255

[Quidway] rule-map intervlan Student2 ip 10.20.0.0 0.0.255.255 60.10.0.0 0.0.255.255

[Quidway] eacl eacl_Student Student1 deny

[Quidway] eacl eacl_Student Student2 deny

[Quidway] access-group eacl eacl_Student port gigabitethernet 4/0/1