cisco配置实例_Cisco双出口NAT配置
cisco配置实例_Cisco双出口NAT配置 目的:模拟拥有双出口链路情况下基于原地址策略路由功能,实现不同原内部地址从不同出口对外部网络的访问,由于多数实际情况下路由器在外部端口使用NAT对内网地址进行翻译,所以本试验也使用双NAT对内部地址进行翻译,实现通过多ISP访问Internet功能。 www.zhishiwu.com 环境描述:使用设备为Cisco2621XM + NE-1E模块,该配置拥有两个FastEthernet及一个Ethernet端口。现使用Ethernet 1/0 端口连接内部局域网,模拟内部拥有100.100.23.0 255.255.0.0 与100.100.24.0 255.255.0.0 两组客户机情况下基于原地址的策略路由。 Fastethernet 0/0 模拟第一个ISP接入端口,Fastethernet 0/1模拟第二个ISP接入端口,地址分别为 Fastethernet 0/0 的ip地址192.168.1.2 255.255.255.0 对端ISP地址192.168.1.1 255.255.255.0Fastethernet 0/1 的ip地址192.168.2.2 255.255.255.0 对端ISP地址192.168.2.1 255.255.255.0通过策略路由后对不同原地址数据流量进行分流,使得不同原地址主机通过不同ISP接口访问Internet,并为不同原地址主机同不同NAT地址进行转换。 具体配置: version 12.2service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname Router!ip subnet-zerocall rsvp-sync! interface FastEthernet0/0 --------------------假设该端口为ISP 1接入端口ip address 192.168.1.2 255.255.255.0 --------分配地址ip nat outside --------指定为NAT Outside端口duplex autospeed auto!interface FastEthernet0/1 --------------------假设该端口为ISP 2接入端口ip address 192.168.2.2 255.255.255.0 --------分配地址ip nat outside --------指定为NAT Outside端口duplex autospeed auto!interface Ethernet1/0 --------------------假设该端口为内部网络端口ip address 100.100.255.254 255.255.0.0 --------分配地址ip nat inside --------指定为NAT Inside端口ip policy route-map t0 --------在该端口上使用route-map t0进行策略控制half-duplex!ip nat inside source list 1 interface FastEthernet0/0 overload ------Nat转换,指定原地址为100.100.23.0的主机使用Fastethernet 0/0的地址进行转换 ip nat inside source list 2 interface FastEthernet0/1 overload ------Nat转换,指定原地址为100.100.24.0的主机使用Fastethernet 0/1的地址进行转换
ip classlessip route 0.0.0.0 0.0.0.0 192.168.2.1 ------静态路由,对Internet的访问通过192.168.2.1(ISP2)链路 ip route 0.0.0.0 0.0.0.0 192.168.1.1 ------静态路由,对Internet的访问通过192.168.1.1(ISP1)链路 ip http server静太路由不起很大的作用,因为存在策略路由,主要是set int 要求有显示的去往目的的路由!access-list 1 permit 100.100.23.0 0.0.0.255 ----访问控制列表1,用于过滤原地址,允许100.100.23.0网段主机流量通过 access-list 2 permit 100.100.24.0 0.0.0.255 ----访问控制列表2,用于过滤原地址,允许100.100.23.0网段主机流量通过 如果做set int 备份,则acl1,acl2应该允许所有的,进行nat
route-map t0 permit 10 ----定义route-map t0,permit序列为10match ip address 1 ----检查原地址,允许100.100.23.0 网段地址set interface FastEthernet0/0 ----指定出口为Fastethetnet 0/0(set interface FastEthernet0/1) 我认为可以做备份 ! route-map t0 permit 20 ----定义route-map t0,permit序列为20match ip address 2 ----检查原地址,允许100.100.24.0 网段地址set interface FastEthernet0/1 ----指定出口为Fastethetnet 0/1!(set interface FastEthernet0/1) 我认为可做备份 !dial-peer cor customline con 0line aux 0line vty 0 4!end 效果检验: 察看路由表Router#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route 100.0.0.0/16 is subnetted, 1 subnetsC 100.100.0.0 is directly connected, Ethernet1/0C 192.168.1.0/24 is directly connected, FastEthernet0/0C 192.168.2.0/24 is directly connected, FastEthernet0/1S* 0.0.0.0/0 [1/0] via 192.168.1.1 [1/0] via 192.168.2.1 发现静态路由存在两条路径! 察看ip Nat translationsRouter#sho ip nat translations Pro Inside global Inside local Outside local Outside globalicmp 192.168.1.2:1024 100.100.23.23:1024 1.1.1.1:1024 1.1.1.1:1024icmp 192.168.2.2:1280 100.100.24.23:1280 1.1.1.1:1280 1.1.1.1:1280
由于路由器外部存在1.1.1.1的地址,用于模拟Internet公网地址,发现不同网段内部主机流量确实已经从不同出口访问外部资源,并且使用了不同Nat进行地址转换! 注:大部分多ISP情况下都要使用NAT地址转换功能,但有些特殊情况下不需使用NAT功能,如果不是用NAT,就将配置中的有关NAT的配置去掉,如此配置中去掉 ip nat inside source list 1 interface FastEthernet0/0 overload 和ip nat inside source list 2 interface FastEthernet0/1 overload 以及在端口上去掉ip Nat outside和ip nat inside的配置,就可以实现不用NAT的策略路由。 以上试验可以实现基于原地址的策略路由功能,可以根据内网原地址进行不同流量通过不同ISP接口访问Internet的功能,但仍没有实现双链路相互备份的功能,即当任意一条链路出现故障的时候无法自动使用另一条链路进行备份,造成一部分相应的内网主机无法访问外网的情况。
