双ISP配置实验：包括负载均衡+冗余备份

1、192.16&0.1192.1&05RT192.168.0.Tipnatinsidesourcestaticudp192.168.0.123200.200.8.25223extendableipnatinsidesourcestatictcp192.168.0.380200.200.8.25280extendableipnatinsidesourcestatictcp192.168.0.5有通信流量z后RACK02R21?showpnatt67200.200.8.25267extendableProInsideglobalLisidelocalOutsidehealOutsideglobal2

2、00.200.8.1192.168.0.1200.200.8.3192.168.0.3200.200.8.5192.168.0.5200.200.8.7192.168.0.7tcp200.200.8.252:80192.168.0.3:80200.200.2.254:11007200.200.2.254:1100tcp200.200.8.252:80192.168.0.3:80200.200.4.6:11000200.200.4.6:11000udp200.200.8.252:23192.168.0.123tcp200.200.8.2527192.168.0.5:67tcp200.200.8.

3、252SO192.168.0.3:80tcp200.200.8.252SO192.168.0.3SO200.200.5.8:11002200.200.5.8:11002使用tcp80的一个服务器公网地址为200.200.8.251,内网地址为192.168.0.7ipnatinsidesourcestatictcp192.168.0.780200.200.8.25180extendable所有对于公网地址200.200.8.250的访问，转换到192.168.0.6ipnatinsidesourcestatic192.168.0.6200.200.8.250weblsener的地址为：200.

4、200.8.253内网中有三个服务器作镜像200.200.8.11,200.200.8.12,200.200.8.13配置方法参见最后关于同一个EP时，实现负载均衡力l余备份R3,R4intslnoshutdown方法一:jproute0.0.0.00.0.0.0200.200.2.254proute0.0.0.00.0.0.0200.200.1.254无需再作任何配置，路有器就可以在两个路有器Z间实现负载均衡以及兀余备份了。如果手动关闭接口（f吏用shutdown命令关闭本地接口），那么相应的静态路由是能够自动消失的。如果200.200.2.254被shutdown的话，所有流量通过200.

5、200.1.254去，反之.200.200.1.254被shutdown的话，所有流量通过200.2002254出去。如果要实现去往目标192.16&1.02030通过接口200.200.2.254出去，具余流量负载均衡配置如下：Qroute192.168.1.0255.255.255.0200.200.2.254Qroute192.168.2.0255.255.255.0200.200.2.254Qroute192.168.3.0255.255.255.0200.200.2.254jproute0.0.0.00.0.0.0200.200.2.254jproute0.0.0.00.0.0.02

6、00.200.1.254注意此种配置方法，如果200.200.2.254被shutdown的话，前而5条静态路由能够自动消失，从而所有流量通过200.200.1.254去，反之.200.200.1.254被shutdown的话，所有流量通过200.2002254出去。方法二：PBR鎂于源地址的负载均衡routemapsourcepermitlOmatehipaddress101setinterfaceelroutemapsourcepermit20matehipaddress102setinterfecesiaccess4ist101peimitphost192.168.0.1anyacces

7、s4ist101peimitphost192.168.0.3anyaccess4ist102peimitphost192.168.0.5anyaccess4ist102peimitphost192.168.0.7anyinterfaceeOippolicyroute-mapsource方法三：PBR基于目的地址的负载均衡routemapdestpennitlOmatehipaddress103setinterfaceelroutemapdestpennit20matehipaddress104setinterfecesiaccess4ist103peimit巾any192.168.1.00.0

8、.0.255access4ist103peimit巾any192.168.2.00.0.0.2550.0.0.255access4ast103peimit/any192.168.3.0access4ist104peimit巾any192.168.4.00.0.0.255access4ist104peimit巾any192.168.5.00.0.0.2550.0.0.255access4ast104peimit/any192.168.6.0interfaceeOippolicyroute-mapdest方法四：PBR基于目的地址的负载均衡，同时实现负载均衡、兀余备份由于路有器的实际命令有所变化，

9、所以没有成功，查阅文档，继续实验。rtr1typeechoprotocolQicmpecho200.200.2.254rtrschedule1sxart-timenowlifeforeverrtr2typeechoprotocolpkmpecho200.200.1.254rtrschedule2sxart-timenowlifeforevertrack121nr1reachabilitjrtrack122nr2reachabilitjr/track121jproute200.200.2.254255.255.255.0reachability/track122Qroute200.200.1.2

10、54255.255.255.0reachability/setipnext4iopverify-availabilityinterfeceethemet0policyloute-mapXEXTH0Paccess4istl05permit?)any200.200.4.00.0.0.255access4istl05permit?)any200.200.5.00.0.0.255loutemapXEXTH0PpermitlOmatehipaddress105setpnexthopverifyavailability200.200.1.25410ttack121setpnexthop200.200.2.

11、254setipnexthopverifyavailabilityloutemapXEXTH0Ppermit20setpnexthopverifyavailability200.200.2.25420ttack122setpnexthop200.200.1.2542个ISP同时实现负载均衡力l；余备份已经成功实验，彻底成功。30:200.200.2.254ISP2192.168.0.119Z.168.0.254192.168.0.251:200.200.1.2531-ISP1192.168.0.TSl:20a200.1.2&1(yaL(yL(yLE0:200.200.3.51.0/24201.

12、168.2.0/24X0/24配置要求:ISP1分配的地段20Q20Q1Q0/24ISP2分配的地段20tt20Q1Q0/24要求正常情况匚ISP的流晁从ISP的接口S142,ISP2j流虽从ISP邪J接口S陡，从而实现负载均衡的效果，另外，如果其中一跳链路失效的时候，另外一条链路町以用作备份。inteOipaddress19216HQ2542552552550ipnatinsideintsOipaddress20a20a22532552552550ipnatoutsideintsiipaddress20tt20Q1.2532552552550ipnatoutsideTOC o 1-5 h z

13、ipnatpoolispl_pool20Q.20(1IQ1200.20(1IQ250netrrask2552552550ipnatpoolisp2_pool20Q.20(12(11200.20(12(1250netrrask2552552550ipnatinsidesourceroute-mapisplpoolispl_poolipnatinsidesourceroute-mapisp2poolisp2_pooliproute20Q16&L0255255255020a200.2254iproute20Q16&20255255255020a200.2254iproute20Q16&S025525

14、5255020a200.2254iproute20L16&L0255255255020a20Q1.254iproute201.16&20255255255020a200.1.254iproute201.16&30255255255020a200.1.254iprouteaaQ0QaQ020Q20a2254iprouteQQQ0QaQ020Q20QL25416&0.00.aa255access1ist1peimit1921.2542254access1ist2pennit20(1200.access1ist3permit200.20Qroute-mapisp2permit10matchipadd

15、ress1matchipnextliop3route-mapisplpermit10matchipaddress1matchipnextliop2以上是关键的配置。另外，即使添加了setinterface句仍然可以成功，但是确是多余的配置,无用功。route-mapisp2permit10matchipaddress1matchipnexthop3setinterfaceSerialOroute-mapisplpermit10matchipaddress1matchipnexthop2setinterfaceSerial1配置中的映射表还可以配置为，需要注意matchinterface表示的使

16、出站接口，而非入站接口。route-mapisp2permit10matchipaddress1rratchinterfaceSeria10route-mapisplpermit10matchipaddress1matchinterfaceSeria11完整的配置请参考文件show2-lR/VK02R3(configroute-map)4tnatchipnextHiop?IPaccess-1istnurrberIPaccess1istnurber(expandedrange)WORDIPstandardaccess1istnameprefix1istNfatchentriesofprefix-

17、lists验证成功的方法第一步：FWX02R3ttpingProtocolip：TargetIPaddress201.168L1Sourceaddressorinterface20Q20(1IQ254Sending5100byteIOVPEchosto201.16&LLtimeoutis2seconds：Packetsentwithasourceaddressof20(1200.10.254Successrateis100percent(5/5),roundtripmin/avg/max=64/64/64ms口标地址可以为R4R3I啲任何一个,源地址可以是R3I：而的任何接口但是lol,102

18、有用)。注意R3上有两个接口Loopback接口lobipaddress20Q20QIQ254255255255255lo2ipaddress200.20Q2Q254255255255255配置这两个接口的作用仅仅是测试的U的，这样测试的口的在于两个地址持的地址都能pin迦口的接口，从而町以确保R5以及R3的配置正确跑的测试除外)第二步：RCK02R2t#trace20Q16&31TypeescapesequencetoabortTracingtherouteto20Q16&31192168Q2548msec8msec4msec20U200.225444msec*48msecRK02R2t#t

19、race201.16&1.1TypeescapesequencetoabortTracingtherouteto20L16&L119216&Q2548msec4msec8msec20U200.1.25444msec*40msec第三步有通倍流虽之后FWX02R3WshowipnattProInsideglobalInsidelocalOutsidelocalOutsideg1oba1icnp20Q20(110.247019216&aL47020L1683h470201.16&3L470iarp200.20aIQ2471192168ah471201.16&3L471201.16&3L471imp

20、20Q20a20.4559319216&QL559320Q16&3L559320Q1683h5593imp20Q20Q2Q45594192168Q1：559420Q16&31：559420Q1683b5594总结：200.200.20.0/54200.200.10.0/4必须在两个ISPZ间相互通告，否则EP2的地址200.200.20.0/24到了EPLISP1就不知道如何往回路由数据包了。反Z对于200.200.10.0/54也是。但这不用担忧，对于两个SP的网络，这无需要求服务提供商配置，应该是已经实现了的。我们需要ISP1做的是，对于到达200.200.20.0/24的数据包，直接送到

21、R3路有器，而不需要再经过EP2,需要ISP2做的也是类似的。没有这个步骤也能通信，但是这样做的优点是减少了数据返回时可能产生的多余的路径。实际上，综合分析，连接两个ISP的网络，只需要申请一个地址池就可以了，不过需要他们配合的是，两个ISP都需要通告这个地址池的地址，把他们当作自己的一段地址。没有这个步骤也能通信。但是耍求运营商这样做的优点是减少了数据返回时可能产生的多余的路径。另外，本例虽然可以同时实现负载均衡和兀余备份，但是在兀余备份方而有它的局限性，ipmute配置的静态路由，在关闭本地的接口时候，通过此接口出去的静态路由能够在1秒钟内自动消失。但是即使关闭对端的接口（静态路由下一条地

22、址的接口）通过此接口出去的静态路由能够不会自动消失。原因在于当前实验环境使用的是帧中继网络连接路由器。接口的lineprotocolisup（down）的状态，只与它所连接的帧中继交换机有关系，与对端路由器没有任何关系。在本实验环境中，路由器与帧中继的信令协商不一徴等问题会导致路由器的接口lineprotocolisdown。例如framerrehyinrtj-pe不一致就会导致lineprotocolisdown的产生，只要岀现这种情况（lineprotocolisdown）,路由器的相应的路由条目会从路由表中消失（简单地说，就是使用showiproute命令看不到）。还有一个问题需要注意的

23、是，虽然可以使用setinterfece命令指定数据包的出站接口，但是路由（静态或者动态）还是必须要配置的。否则，不能正常工作。ipnatinsidesourcelistaccess-丄ist:numjber|access-list-name/route-mapnameinterfacetypenumberIpoolpoohiameDoverload镜像服务器的配置方法仍然按照上而的拓扑图R3interfaceEthernetOipaddress20Q20QS2542552552550ipnatinsideinterfaceSerialOipaddress20Q20Q22532552552550ipnatoutsideinterfaceSerial1ipaddress20Q20QL2532552552550ipnatoutsideipnatpoolmirror-server20Q20Q&1120Q200.&13netmask2552552550typerotaryipnatinsidedestination1ist1poolmirrorserveripnatinsidedestinat