Cisco 双出口NAT配置
2024-06-03 06:18:36
Cisco 双出口NAT配置
目的:模拟拥有双出口链路情况下基于原地址策略路由功能,实现不同原内部地址从不同出口对外部网络的访问,由于多数实际情况下路由器在外部端口使用NAT对内网地址进行翻译,所以本试验也使用双NAT对内部地址进行翻译,实现通过多ISP访问Internet功能。
环境描述:使用设备为Cisco2621XM + NE-1E模块,该配置拥有两个FastEthernet及一个Ethernet端口。
现使用Ethernet 1/0 端口连接内部局域网,模拟内部拥有100.100.23.0 255.255.0.0 与100.100.24.0 255.255.0.0 两组客户机情况下基于原地址的策略路由。
现使用Ethernet 1/0 端口连接内部局域网,模拟内部拥有100.100.23.0 255.255.0.0 与100.100.24.0 255.255.0.0 两组客户机情况下基于原地址的策略路由。
Fastethernet 0/0 模拟第一个ISP接入端口,Fastethernet 0/1模拟第二个ISP接入端口,地址分别为 Fastethernet 0/0 的ip地址192.168.1.2 255.255.255.0 对端ISP地址192.168.1.1 255.255.255.0
Fastethernet 0/1 的ip地址192.168.2.2 255.255.255.0 对端ISP地址192.168.2.1 255.255.255.0
通过策略路由后对不同原地址数据流量进行分流,使得不同原地址主机通过不同ISP接口访问Internet,并为不同原地址主机同不同NAT地址进行转换。
Fastethernet 0/1 的ip地址192.168.2.2 255.255.255.0 对端ISP地址192.168.2.1 255.255.255.0
通过策略路由后对不同原地址数据流量进行分流,使得不同原地址主机通过不同ISP接口访问Internet,并为不同原地址主机同不同NAT地址进行转换。
具体配置:
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
ip subnet-zero
call rsvp-sync
!
interface FastEthernet0/0 --------------------假设该端口为ISP 1接入端口
ip address 192.168.1.2 255.255.255.0 --------分配地址
ip nat outside --------指定为NAT Outside端口
duplex auto
speed auto
!
interface FastEthernet0/1 --------------------假设该端口为ISP 2接入端口
ip address 192.168.2.2 255.255.255.0 --------分配地址
ip nat outside --------指定为NAT Outside端口
duplex auto
speed auto
!
interface Ethernet1/0 --------------------假设该端口为内部网络端口
ip address 100.100.255.254 255.255.0.0 --------分配地址
ip nat inside --------指定为NAT Inside端口
ip policy route-map t0 --------在该端口上使用route-map t0进行策略控制
half-duplex
!
ip nat inside source list 1 interface FastEthernet0/0 overload ------Nat转换,指定原地址为100.100.23.0的主机使用Fastethernet 0/0的地址进行转换
ip nat inside source list 2 interface FastEthernet0/1 overload ------Nat转换,指定原地址为100.100.24.0的主机使用Fastethernet 0/1的地址进行转换
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.1 ------静态路由,对Internet的访问通过192.168.2.1(ISP2)链路
ip route 0.0.0.0 0.0.0.0 192.168.1.1 ------静态路由,对Internet的访问通过192.168.1.1(ISP1)链路
ip http server
静太路由不起很大的作用,因为存在策略路由,主要是set int 要求有显示的去往目的的路由
!
access-list 1 permit 100.100.23.0 0.0.0.255 ----访问控制列表1,用于过滤原地址,允许100.100.23.0网段主机流量通过
access-list 2 permit 100.100.24.0 0.0.0.255 ----访问控制列表2,用于过滤原地址,允许100.100.23.0网段主机流量通过
如果做set int 备份,则acl1,acl2应该允许所有的,进行nat
route-map t0 permit 10 ----定义route-map t0,permit序列为10
match ip address 1 ----检查原地址,允许100.100.23.0 网段地址
set interface FastEthernet0/0 ----指定出口为Fastethetnet 0/0
(set interface FastEthernet0/1) 我认为可以做备份
!
route-map t0 permit 20 ----定义route-map t0,permit序列为20
match ip address 2 ----检查原地址,允许100.100.24.0 网段地址
set interface FastEthernet0/1 ----指定出口为Fastethetnet 0/1
!
(set interface FastEthernet0/1) 我认为可做备份 !
dial-peer cor custom
line con 0
line aux 0
line vty 0 4
!
end
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
ip subnet-zero
call rsvp-sync
!
interface FastEthernet0/0 --------------------假设该端口为ISP 1接入端口
ip address 192.168.1.2 255.255.255.0 --------分配地址
ip nat outside --------指定为NAT Outside端口
duplex auto
speed auto
!
interface FastEthernet0/1 --------------------假设该端口为ISP 2接入端口
ip address 192.168.2.2 255.255.255.0 --------分配地址
ip nat outside --------指定为NAT Outside端口
duplex auto
speed auto
!
interface Ethernet1/0 --------------------假设该端口为内部网络端口
ip address 100.100.255.254 255.255.0.0 --------分配地址
ip nat inside --------指定为NAT Inside端口
ip policy route-map t0 --------在该端口上使用route-map t0进行策略控制
half-duplex
!
ip nat inside source list 1 interface FastEthernet0/0 overload ------Nat转换,指定原地址为100.100.23.0的主机使用Fastethernet 0/0的地址进行转换
ip nat inside source list 2 interface FastEthernet0/1 overload ------Nat转换,指定原地址为100.100.24.0的主机使用Fastethernet 0/1的地址进行转换
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.1 ------静态路由,对Internet的访问通过192.168.2.1(ISP2)链路
ip route 0.0.0.0 0.0.0.0 192.168.1.1 ------静态路由,对Internet的访问通过192.168.1.1(ISP1)链路
ip http server
静太路由不起很大的作用,因为存在策略路由,主要是set int 要求有显示的去往目的的路由
!
access-list 1 permit 100.100.23.0 0.0.0.255 ----访问控制列表1,用于过滤原地址,允许100.100.23.0网段主机流量通过
access-list 2 permit 100.100.24.0 0.0.0.255 ----访问控制列表2,用于过滤原地址,允许100.100.23.0网段主机流量通过
如果做set int 备份,则acl1,acl2应该允许所有的,进行nat
route-map t0 permit 10 ----定义route-map t0,permit序列为10
match ip address 1 ----检查原地址,允许100.100.23.0 网段地址
set interface FastEthernet0/0 ----指定出口为Fastethetnet 0/0
(set interface FastEthernet0/1) 我认为可以做备份
!
route-map t0 permit 20 ----定义route-map t0,permit序列为20
match ip address 2 ----检查原地址,允许100.100.24.0 网段地址
set interface FastEthernet0/1 ----指定出口为Fastethetnet 0/1
!
(set interface FastEthernet0/1) 我认为可做备份 !
dial-peer cor custom
line con 0
line aux 0
line vty 0 4
!
end
效果检验:
察看路由表
Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
100.0.0.0/16 is subnetted, 1 subnets
C 100.100.0.0 is directly connected, Ethernet1/0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
C 192.168.2.0/24 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 192.168.1.1
[1/0] via 192.168.2.1
发现静态路由存在两条路径!
察看ip Nat translations
Router#sho ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 192.168.1.2:1024 100.100.23.23:1024 1.1.1.1:1024 1.1.1.1:1024
icmp 192.168.2.2:1280 100.100.24.23:1280 1.1.1.1:1280 1.1.1.1:1280
由于路由器外部存在1.1.1.1的地址,用于模拟Internet公网地址,发现不同网段内部主机流量确实已经从不同出口访问外部资源,并且使用了不同Nat进行地址转换!
注:大部分多ISP情况下都要使用NAT地址转换功能,但有些特殊情况下不需使用NAT功能,如果不是用NAT,就将配置中的有关NAT的配置去掉,
如此配置中去掉 ip nat inside source list 1 interface FastEthernet0/0 overload 和ip nat inside source list 2 interface FastEthernet0/1 overload
以及在端口上去掉ip Nat outside和ip nat inside的配置,就可以实现不用NAT的策略路由。
以上试验可以实现基于原地址的策略路由功能,可以根据内网原地址进行不同流量通过不同ISP接口访问Internet的功能,但仍没有实现双链路相互备份的功能,即当任意一条链路出现故障的时候无法自动使用另一条链路进行备份,造成一部分相应的内网主机无法访问外网的情况。
察看路由表
Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
100.0.0.0/16 is subnetted, 1 subnets
C 100.100.0.0 is directly connected, Ethernet1/0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
C 192.168.2.0/24 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 192.168.1.1
[1/0] via 192.168.2.1
发现静态路由存在两条路径!
察看ip Nat translations
Router#sho ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 192.168.1.2:1024 100.100.23.23:1024 1.1.1.1:1024 1.1.1.1:1024
icmp 192.168.2.2:1280 100.100.24.23:1280 1.1.1.1:1280 1.1.1.1:1280
由于路由器外部存在1.1.1.1的地址,用于模拟Internet公网地址,发现不同网段内部主机流量确实已经从不同出口访问外部资源,并且使用了不同Nat进行地址转换!
注:大部分多ISP情况下都要使用NAT地址转换功能,但有些特殊情况下不需使用NAT功能,如果不是用NAT,就将配置中的有关NAT的配置去掉,
如此配置中去掉 ip nat inside source list 1 interface FastEthernet0/0 overload 和ip nat inside source list 2 interface FastEthernet0/1 overload
以及在端口上去掉ip Nat outside和ip nat inside的配置,就可以实现不用NAT的策略路由。
以上试验可以实现基于原地址的策略路由功能,可以根据内网原地址进行不同流量通过不同ISP接口访问Internet的功能,但仍没有实现双链路相互备份的功能,即当任意一条链路出现故障的时候无法自动使用另一条链路进行备份,造成一部分相应的内网主机无法访问外网的情况。
转载于:https://blog.51cto.com/wangshibo1010/42649
Cisco 双出口NAT配置相关推荐
- 双出口NAT+PBR+IPSec V*N
拓扑: 描述: 1.总部HQ有2条公网出口,出接口e0/1连接ISP-1,出接口e0/2接口连接ISP-2: 2.该拓扑有3个分支机构,分别为Branch1.Branch2.Branch3,其中Bra ...
- 思科双核心交换机双出口防火墙配置案例
拓扑图如下: 一.组网设计: 该网络采用典型的三层结构:接入层,汇聚层,核心层.为了实现企业高速互联,核心由两个核心节点组成,核心之间采用链路聚合的方式以获得更高的传输效率跟冗余性.核心与防火墙之间采 ...
- cisco路由器NAT配置
要想对Cisco路由器的NAT进行配置,别的不说,最起码的,你要知道什么是NAT吧.其实NAT就是网络地址转换,是用于将一个地址域(如:专用Intranet)映射到另一个地址域的标准方法.它有作用及原 ...
- 华为设备实现双出口访问外网nat 策略路由配置
使用ENSP模拟器实现 实验:双出口访问外网nat 策略路由配置 1.内网使用nat访问外网 2.访问联通流量默认走联通线路,电信流量默走电信线路 3.当线路出现故障时,可切换到另一个链路 4.来回路 ...
- H3C 设备校园网双出口配置案例
一.策略路由是什么? 在H3C设备上,谈到双出口,那么就避免不了策略路由这个概念,那么策略路由又是个什么鬼呢? 它与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进 ...
- Cisco设备静态NAT基本配置步骤
以下内容摘自笔者即将出版上市的<金牌网管师--大中型企业网络组建.配置与管理>一书,或者于明年将出版的<Cisco/H3C路由器配置与管理完全手册>一书. 当你与外部网络进行通 ...
- 华为防火墙如何配置双出口,特定IP段流量走指定出接口地址上网
环境: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 电信宽带:拨号 ...
- CISCO NAT配置
CISCO NAT配置 一.NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请.在网络内部,各 ...
- cisco 双ISP线路接入 链路自动切换方案
最近接到的一个项目,客户总部在惠州,分部在香港,在香港分部设有ERP服务器与邮件服务器,总部出口为铁通10M光纤与网通1M DDN 专线(新增),原总部是用netscreen 防火墙与香港的pix 5 ...
最新文章
- 类的成员包含 java_Java 面向对象(十五)类的成员 之 内部类
- boost::execution_monitor相关的测试程序
- JavaBean中的属性
- tf.layers.dropout
- [原]ASP.Net常用功能整理--生成图片的缩略图
- powerDesigner生成excel版本的数据库文件
- linux ip addr peer,CentOS 7 设置网络IP地址
- html中的各种协议,html 中使用 wtai 协议
- 杭电1285确定比赛名次
- 以Crypto++实现RSA加解密二进制数据
- ORA-01031:insufficient privileges
- VSF表格 粘贴板ClipBoard 将数据粘贴到表格 VB6.0
- SQL 2008安装时反复提示重启和安装.net framework 3.5
- 北航软件工程硕士_21考研择校 | 北京航空航天大学软件工程怎么样?
- (杂谈二) 看看别人是怎么写程序的(程序员的自我修养)
- 华为社招/东莞、杭州、成都、西安
- 华硕EeePC: 没有光驱重装系统(用U盘作为电脑启动盘)
- 电脑出现initialization failure:0x0000000c如何解决
- Hadoop HA在停掉active namenode后无法自动切换到standby namenode
- 【案例】建设银行——直播中台助力企业数字化学习升级