使用Cisco2621XM+NM-1E進行雙出口路由實驗

2019-11-05 01:10:41

字體：大中小

來源：轉載

供稿：網友

　　目的：模擬擁有雙出口鏈路情況下基于原地址策略路由功能，實現不同原內部地址從不同出口對外部網絡的訪問，由于多數實際情況下路由器在外部端口使用NAT對內網地址進行翻譯，所以本試驗也使用雙NAT對內部地址進行翻譯，實現通過多ISP訪問Internet功能。
　　
　　環境描述：使用設備為Cisco2621XM + NE-1E模塊，該配置擁有兩個FastEthernet以及一個Ethernet端口。
　　現使用Ethernet 1/0 端口連接內部局域網，模擬內部擁有100.100.23.0 255.255.0.0 與100.100.24.0 255.255.0.0 兩組客戶機情況下基于原地址的策略路由。
　　Fastethernet 0/0 模擬第一個ISP接入端口，Fastethernet 0/1模擬第二個ISP接入端口，地址分別為 Fastethernet 0/0 的ip地址192.168.1.2 255.255.255.0 對端ISP地址192.168.1.1 255.255.255.0
　　Fastethernet 0/1 的ip地址192.168.2.2 255.255.255.0 對端ISP地址192.168.2.1 255.255.255.0
　　通過策略路由后對不同原地址數據流量進行分流，使得不同原地址主機通過不同ISP接口訪問Internet，并為不同原地址主機同不同NAT地址進行轉換。
　　
　　具體配置：
　　
　　version 12.2
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service passWord-encryption
　　!
　　hostname Router
　　!
　　!
　　ip subnet-zero
　　!
　　!
　　!
　　call rsvp-sync
　　!
　　!
　　!
　　!
　　!
　　!
　　!
　　!
　　interface FastEthernet0/0　　　　 --------------------假設該端口為ISP 1接入端口
　　ip address 192.168.1.2 255.255.255.0　　　　 --------分配地址
　　ip nat outside　　　　　　　　　　　　　　　 --------指定為NAT Outside端口
　　duplex auto
　　speed auto
　　!
　　interface FastEthernet0/1　　　　 --------------------假設該端口為ISP 2接入端口
　　ip address 192.168.2.2 255.255.255.0　　　　 --------分配地址
　　ip nat outside　　　　　　　　　　　　　　　 --------指定為NAT Outside端口
　　duplex auto
　　speed auto
　　!
　　interface Ethernet1/0　　　　　　 --------------------假設該端口為內部網絡端口
　　ip address 100.100.255.254 255.255.0.0　　　 --------分配地址
　　ip nat inside　　　　　　　　　　　　　　　　--------指定為NAT Inside端口
　　ip policy route-map t0　　　　　--------在該端口上使用route-map t0進行策略控制
　　half-duplex
　　!
　　ip nat inside source list 1 interface FastEthernet0/0 overload　　------Nat轉換，指定原地址為100.100.23.0的主機使用Fastethernet 0/0的地址進行轉換
　　
　　ip nat inside source list 2 interface FastEthernet0/1 overload　　------Nat轉換，指定原地址為100.100.24.0的主機使用Fastethernet 0/1的地址進行轉換
　　
　　ip classless
　　ip route 0.0.0.0 0.0.0.0 192.168.2.1　　　 ------靜態路由，對Internet的訪問通過192.168.2.1（ISP2）鏈路
　　
　　ip route 0.0.0.0 0.0.0.0 192.168.1.1　　　 ------靜態路由，對Internet的訪問通過192.168.1.1（ISP1）鏈路
　　
　　ip http server
　　!
　　access-list 1 permit 100.100.23.0 0.0.0.255　----訪問控制列表1，用于過濾原地址，答應100.100.23.0網段主機流量通過
　　
　　access-list 2 permit 100.100.24.0 0.0.0.255　----訪問控制列表2，用于過濾原地址，答應100.100.23.0網段主機流量通過
　　
　　route-map t0 permit 10　　　　　　　　　　　----定義route-map t0，permit序列為10
　　match ip address 1　　　 &nbs
　　
　　p;　　　　　　----檢查原地址，答應100.100.23.0 網段地址
　　set interface FastEthernet0/0　　　　　　　 ----指定出口為Fastethetnet 0/0
　　!
　　route-map t0 permit 20　　　　　　　　　　 ----定義route-map t0，permit序列為20
　　match ip address 2　　　　　　　　　　----檢查原地址，答應100.100.24.0 網段地址
　　set interface FastEthernet0/1　　　　　　　 ----指定出口為Fastethetnet 0/1
　　!
　　!
　　dial-peer cor custom
　　!
　　!
　　!
　　!
　　line con 0
　　line aux 0
　　line vty 0 4
　　!
　　end
　　
　　效果檢驗：
　　察看路由表
　　Router#show ip route
　　Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
　　D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
　　N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
　　E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
　　i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
　　ia - IS-IS inter area, * - candidate default, U - per-user static route
　　o - ODR, P - periodic downloaded static route
　　
　　100.0.0.0/16 is subnetted, 1 subnets
　　C　　　 100.100.0.0 is directly connected, Ethernet1/0
　　C　　192.168.1.0/24 is directly connected, FastEthernet0/0
　　C　　192.168.2.0/24 is directly connected, FastEthernet0/1
　　S*　 0.0.0.0/0 [1/0] via 192.168.1.1
　　[1/0] via 192.168.2.1
　　發現靜態路由存在兩條路徑!
　　
　　察看ip Nat translations
　　Router#sho ip nat translations
　　
　　PRo Inside global　　　Inside local　　　 Outside local　　　Outside global
　　icmp 192.168.1.2:1024　100.100.23.23:1024 1.1.1.1:1024　　　 1.1.1.1:1024
　　icmp 192.168.2.2:1280　100.100.24.23:1280 1.1.1.1:1280　　　 1.1.1.1:1280
　　
　　由于路由器外部存在1.1.1.1的地址，用于模擬Internet公網地址，發現不同網段內部主機流量確實已經從不同出口訪問外部資源，并且使用了不同Nat進行地址轉換!
　　
　　注：大部分多ISP情況下都要使用NAT地址轉換功能，但有些非凡情況下不需使用NAT功能，假如不是用NAT，就將配置中的有關NAT的配置去掉，
　　如此配置中去掉 ip nat inside source list 1 interface FastEthernet0/0 overload 和ip nat inside source list 2 interface FastEthernet0/1 overload
　　以及在端口上去掉ip Nat outside和ip nat inside的配置，就可以實現不用NAT的策略路由。
　　
　　以上試驗可以實現基于原地址的策略路由功能，可以根據內網原地址進行不同流量通過不同ISP接口訪問Internet的功能，但仍沒有實現雙鏈路相互備份的功能，即當任意一條鏈路出現故障的時候無法自動使用另一條鏈路進行備份，造成一部分相應的內網主機無法訪問外網的情況。
　　
　　望各位Fans進行討論，希望找到可行性的方法，即能解決策略路由問題，又能實現雙鏈路的自動備份功能！
　　
　　注（不同者意見）：
　　1、自動備份加負載均衡是很困難的,非凡是對常規的路由協議來說, 包括BGP. MPLS TE 有一些解決方法,但只適用于非凡的核心環境，這個問題已經討論很久了, 現在還沒有完美的解決方法, 至少只依靠路由協議來說。
　　
　　2、偶前一段時間就是用的類似這種負載均衡，但感覺不如指定出口，負載均衡似乎并不好用，還增加無用數據。
　　
　　3、偶在想有沒有辦法實現兩種很實用的功能:
　?。?）、從內網訪問ispＡ的ＩＰ段，會自動從
　　
　?。危粒猿刂羞x擇ispＡ的ＩＰ轉換．訪問ispＢ的網段則同理．這樣對于兩個isp商互相限制的情況下會大大提高網速．（兩個ＩＳＰ互相限制的情況在各地都不同程度的存在的）－－－－－這個問題，CISCO是可以實現的。
　　
　?。ǎ玻崿F不受ＤＮＳ解析影響，自動選擇最優路由路徑．如外網訪問內網服務器，客護端為ispＡ的網段，則自動從ispＡ的ＩＰ訪問服務器，而不管ＤＮＳ解析出的是ispＡ的ＩＰ還是ispＢ的ＩＰ．（不知道一個域名綁頂兩個ＩＰ可以嗎？假如可以那就好辦多了．服務器用雙網卡各自幫頂一個ＩＳＰ的ＩＰ自然就實現最優選擇了．有人提出在內網做ＤＮＳ服務器，現在bind9有一種叫做的智能dns功能。實際上，是應用了view中的match－list功能。就是說，針對來自不同用戶的請求地址，同一域名解析出不同的ip。這樣，只要你把網通和電信的ip表添加到dns的match-list中就可以實現了）－－－－－－－這個問題，CISCO目前還實現不了。

上一篇：使用路由分析工具對網管員有什么影響？

下一篇：LAN多層交換技術以及其應用的發展