Internet多出口实例分析

1、Internet多出口实例分析(一)网络场景：单路由器、Interne侈出口、热备份下面先转一个针对此场景的帖子：用route map实现多ISP Internet接入工程实例作者:usr001/*转载请保留作者信息*/随着我国宽带技术的普及，各个公司都会有一至二条Internet接入线路，这些线路可能由电信、网通、 长宽、联通等不同的IS提供，尽管他们在局端采用的技术可能有不同，但对客户而言都是同样接入 方式，以太网接入，全部采用8个0的缺省路由，而且每个ISP都提供了几个公网IP,因此需用到多 个NAT地址池，若采用普通的NAT转换，则会发现只有一个NAT地址池起作用，路由器并不会使用其余

2、 地址池，那么，如何配置CISCO路由器以实现多NAT地址池转换，就要用到ROUTE map，我前些 日子作了一个工程，正好用到此项技术，考虑到这种实现方法今后会越来越多，特将配置过程写出来， 供各位共享。第一步：进入配置模式：ROUTERENROUTER#CONFIG T第二步:配置端口/*接局域网*/Router(Config)int fa 0/0Router(Config-if)ip addr 192.168.0.1 255.255.255.0Router(Config-if)no shutRouter(Config-if)ip nat inside/*接 ISP1 网口 */Route

3、r(Config-if)int fa 0/1Router(Config-if)ip addr 168.168.18.158 255.255.255.252Router(Config-if)no shutRouter(Config-if)ip nat outside/*接 ISP2 网口 */Router(Config-if)int s1/0Router(Config-if)ip addr 68.18.18.2 255.255.255.224Router(Config-if)no shutRouter(Config-if)ip nat outside第三步:设置NAT地址池Router(Conf

4、ig)Ip Nat Pool Isp1_pool 218.18.18.2 218.18.18.6 Netmask 255.255.255.224Router(Config)Ip Nat Pool Isp2_pool 68.18.18.4 68.18.18.10 Netmask 255.255.255.224 第四步:设置访问控制列表和NAT转换规则Router(Config)Access-list 100 permit Ip 192.168.0.0 0.0.0.255 anyRouter(Config)Ip Nat Inside Source Route-map Isp1 Pool Isp1_

5、poolRouter(Config)Ip Nat Inside Source Route-map Isp2 Pool Isp2_pool第五步:设置ROUTE MAP规则Router(Config)Route-map Isp1 Permit 10Router(Config-route-map)Match Ip address 100Router(Config-route-map)Match Int Fa 0/1Router(Config)Route-map Isp2 Permit 10Router(Config-route-map)Match Ip address 100Router(Conf

6、ig-route-map)Match Int S1/0第六步:设置浮动静态路由Router(Config)Ip Route 0.0.0.0 0.0.0.0 168.168.18.157Router(Config)Ip Route 0.0.0.0 0.0.0.0 68.18.18.1 20第七步:结束并保存配置：Router(Config)endRouter#Copy Ru St本文允许进行自由转载，但请保留作者信息，并不得用于商业用途. 谢谢usr001的文章，写得很好。根据usr001的文章我复制了一个环境，进行实际环境测试：1、环境模拟拓扑图见文末Internet接入路由器2611XM的主

7、要配置：interface FastEthernet0/0ip address 1.1.1.2 255.255.255.0ip nat outside interface FastEthernet0/1ip address 2.2.2.2 255.255.255.0 ip nat outsideinterface Ethernet1/0ip address 192.168.168.172 255.255.255.0ip nat insideip nat inside source route-map ISP1 interface FastEthernet0/0 overloadip nat i

8、nside source route-map ISP2 interface FastEthernet0/1 overload!-我这里没有用地址池，借用了外网接口的地址，这两个NAT转换分别引用了 route map ISP1和ISP2access-list 10 permit 192.168.168.170!-为方便测试，只允许内网的一台机器出去route-map ISP1 permit 10match ip address 10match interface FastEthernet0/0!-针对ISP1的NAT route map，如果满足条件：源地址为ACL 10中的流量、出口地址为F

9、0/0，则进 行NAT地址转换route-map ISP2 permit 10match ip address 10match interface FastEthernet0/1!-针对ISP2的NAT route map，如果满足条件：源地址为ACL 10中的流量、出口地址为F0/1，则进 行NAT地址转换ip route 0.0.0.0 0.0.0.0 1.1.1.1ip route 0.0.0.0 0.0.0.0 2.2.2.1 30!-浮动路由，首选路由为ISP1，备份路由为ISP22、问题分析查看路由表，可发现默认路由指向ISP1：2611XM#sh ip route staS* 0

10、.0.0.0/0 1/0 via 1.1.1.1在192.168.168.170机器上ping 3.3.3.3（3.3.3.3为ISP1路由器上的环回地址），再看NAT转换表：2611XM#sh ip nat transPro Inside global Inside local Outside local Outside globalicmp 1.1.1.2:768 192.168.168.170:768 3.3.3.3:768 3.3.3.3:768现在把2611XM到ISP1路由器之间的连线拔掉，查看路由表，可发现默认路由已转向ISP2：2611XM#sh ip route staS*

11、0.0.0.0/0 30/0 via 2.2.2.1这时我的192.168.168.170仍在ping 3.3.3.3没停，现在再看NAT转换表: 2611XM#sh ip nat transPro Inside global Inside local Outside local Outside globalicmp 1.1.1.2:768 192.168.168.170:768 3.3.3.3:768 3.3.3.3:768可以看到有点奇怪，NAT转换表中的global地址仍然用的是连接ISP1接口的接口地址。在ISP2的路由器上打开debugISP2#debug ip icmpICMP p

12、acket debugging is onRouter#00:24:00: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.200:24:00: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.2可以看到ISP2的返回流量是往1.1.1.2送，我这里的ISP2是台模拟的ISP路由器，实际的ISP路由器 看到这个1.1.1.2的地址就会往它的默认网关回送，最终送到1.1.1.2所属ISP1的AS，然后到达ISP1 路由器。为什么会出现这个现象呢？ Cisco文档中有一句话很好地阐释了这个问题：If a tra

13、nslation entry already exists that matches the traffic then the translation entry will be used; any access lists or route maps will not be consulted.因为NAT转换表中仍然存在着这个表项，所以即使网络出口改变了，它仍然会沿用原来的转换表。有什么解决办法呢？ 一个是手工用clear ip nat trans *清除所有的转换表项，另一个办法就是消极等待， 如ICMP的转换表项的timer为一分钟，如果一分钟内192.168.168.170没有什么动作，再