用route map实现多ISP Internet接入工程实例

network · 发表于 2007-8-1 12:51:41

用route map实现多ISP Internet接入工程实例

随着我国宽带技术的普及,各个公司都会有一至二条Internet接入线路，这些线路可能由电信、网通、长宽、联通等不同的IS提供，尽管他们在局端采用的技术可能有不同，但对客户而言都是同样接入方式，以太网接入，全部采用8个0的缺省路由，而且每个ISP都提供了几个公网IP,因此需用到多个 NAT地址池,若采用普通的NAT转换,则会发现只有一个NAT地址池起作用,路由器并不会使用其余地址池，那么，如何配置 CISCO路由器以实现多NAT地址池转换，就要用到ROUTE map，我前些日子作了一个工程，正好用到此项技术，考虑到这种实现方法今后会越来越多，特将配置过程写出来，供各位共享。

第一步：进入配置模式：

ROUTER>EN

ROUTER#CONFIG T

第二步:配置端口

/*接局域网*/

Router(Config)>int fa 0/0

Router(Config-if)>ip addr 192.168.0.1 255.255.255.0

Router(Config-if)>no shut

Router(Config-if)>ip nat inside

/*接ISP1网口*/

Router(Config-if)>int fa 0/1

Router(Config-if)>ip addr 168.168.18.158 255.255.255.252

Router(Config-if)>no shut

Router(Config-if)>ip nat outside

/*接ISP2网口*/

Router(Config-if)>int s1/0

Router(Config-if)>ip addr 68.18.18.2 255.255.255.224

Router(Config-if)>no shut

Router(Config-if)>ip nat outside

第三步:设置NAT地址池

Router(Config)>Ip Nat Pool Isp1_pool 218.18.18.2 218.18.18.6 Netmask 255.255.255.224

Router(Config)>Ip Nat Pool Isp2_pool 68.18.18.4 68.18.18.10 Netmask 255.255.255.224

第四步:设置访问控制列表和NAT转换规则

Router(Config)>Access-list 100 permit Ip 192.168.0.0 0.0.0.255 any

Router(Config)>Ip Nat Inside Source Route-map Isp1 Pool Isp1_pool

Router(Config)>Ip Nat Inside Source Route-map Isp2 Pool Isp2_pool

第五步:设置ROUTE MAP规则

Router(Config)>Route-map Isp1 Permit 10

Router(Config-route-map)>Match Ip address 100

Router(Config-route-map)>Match Int Fa 0/1

Router(Config)>Route-map Isp2 Permit 10

Router(Config-route-map)>Match Ip address 100

Router(Config-route-map)>Match Int S1/0

第六步:设置浮动静态路由

Router(Config)>Ip Route 0.0.0.0 0.0.0.0 168.168.18.157

Router(Config)>Ip Route 0.0.0.0 0.0.0.0 68.18.18.1 20

第七步:结束并保存配置:

Router(Config)>end

Router#Copy Ru St

network · 发表于 2007-8-1 12:52:14

Cisco基于策略路由的配置实例

问题描述

您可以定义自己的规则来进行数据包的路由而不仅仅由目的地地址所决定。在这里

您可以学到怎么使用基于策略路由的办法来解决这一问题。

在具体的应用中，基于策略的路由有：

☆ 基于源IP地址的策略路由

☆ 基于数据包大小的策略路由

☆ 基于应用的策略路由

☆ 通过缺省路由平衡负载

这里，讲述了第一种情况的路由策略。

举例

在这个例子中，防火墙的作用是：把10.0.0.0/8内部网地址翻译成可路由的172.16

.255.0/24子网地址。

　

下面的防火墙配置是为了完整性而加进去的，它不是策略路由配置所必需的。在这

里的防火墙可以被其它类似的产品代替，如PIX或其它类似防火墙设备。这里的防火墙的

配置如下：

!

ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24

ip nat inside source list 1 pool net-10

!

interface Ethernet0

　ip address 172.16.20.2 255.255.255.0

　ip nat outside

!

interface Ethernet1

　ip address 172.16.39.2 255.255.255.0

　ip nat inside

!

router eigrp 1

　redistribute static

　network 172.16.0.0

　default-metric 10000 100 255 1 1500

!

ip route 172.16.255.0 255.255.255.0 Null0

access-list 1 permit 10.0.0.0 0.255.255.255

!

end

在我们的例子中，Cisco WAN路由器上运行策略路由来保证从10.0.0.0/8网络来的I

P数据包被发送到防火墙去。配置中定义了两条net-10策略规则。第一条策略就定义了从

10.0.0.0/8网络来的IP数据包被发送到防火墙去（我们很快会看到这里的配置有问题）

。而第二条规则允许所有的其它数据包能按正常路由。这里的Cisco WAN路由器的配置如

下：

!

interface Ethernet0/0

　ip address 172.16.187.3 255.255.255.0

　no ip directed-broadcast

!

interface Ethernet0/1

　ip address 172.16.39.3 255.255.255.0

　no ip directed-broadcast

!

interface Ethernet3/0

　ip address 172.16.79.3 255.255.255.0

　no ip directed-broadcast

　ip policy route-map net-10

!

router eigrp 1

　network 172.16.0.0

!

access-list 110 permit ip 10.0.0.0 0.255.255.255 172.16.36.0 0.0.0.255

access-list 111 permit ip 10.0.0.0 0.255.255.255 any

!

route-map net-10 permit 10

　match ip address 111

　set interface Ethernet0/1

!

route-map net-10 permit 20

!

end

我们可以这样测试我们所做的配置。在名为Cisco-1的路由器10.1.1.1上发送ping命

令到Internet上的一个主机（这里就是192.1.1.1主机）。要查看名为Internet Router

的路由器上的情况，我们在特权命令模式下执行debug ip packet 101 detail命令。（

其中，在此路由器上有access-list 101 permit icmp any any配置命令）。下面是输出结果：

Results of ping from Cisco-1 to 192.1.1.1/internet taken from Internet_Router:

Pakcet never makes it to Internet_Router

正如您所看到的：数据包没有到达Internet_Router路由器。下面的在Cisco WAN路

由器上的debug命令给出了原因：

Debug commands run from Cisco_WAN_Router:

"debug ip policy"

2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match

2d15h: IP: route map net-10, item 10, permit

2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100,

policy routed

2d15h: IP: Ethernet3/0 to Ethernet0/1 192.1.1.1

这里，数据包确实匹配了net-10策略图中的第一条规则。但为什么还是没有达到预

期的目的呢？用"debug arp"来看一下。

"debug arp"

2d15h: IP ARP: sent req src 172.16.39.3 0010.7bcf.5b02,

dst 192.1.1.1 0000.0000.0000 Ethernet0/1

2d15h: IP ARP rep filtered src 192.1.1.1 00e0.b064.243d, dst 172.16.39.3

0010.7bcf.5b02

　wrong cable, interface Ethernet0/1

debug arp的输出给出了原因。路由器努力完成它被指示要做的动作，而且试图把数

据包发向Ethernet0/1接口，但失败了。这要求路由器为目的地址192.1.1.1执行地址解

析协议操作，当执行该任务时，路由器知道了目的地址不处于该接口。接下来，路由器

发生封装错误。所以，最后数据包不能到达192.1.1.1。

我们怎样避免这个问题呢？修改路由图使防火墙地址为下一跳。

Config changed on Cisco_WAN_Router:

!

route-map net-10 permit 10

　match ip address 111

　set ip next-hop 172.16.39.2

!

修改后，在Internet Router上运行同样的命令：debug ip packet 101 detail。这时，

数据包可以按配置前进。我们也能看到数据包被防火墙翻译成了172.16.255.1。192.1.

1.1主机的回应：

Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_R

outer:

2d15h: IP: s=172.16.255.1 (Ethernet1), d=192.1.1.1 (Serial0), g=192.1.1.

1, len 100, forward

2d15h: ICMP type=8, code=0

2d15h:

2d15h: IP: s=192.1.1.1 (Serial0), d=172.16.255.1 (Ethernet1), g=172.16.2

0.2, len 100, forward

2d15h: ICMP type=0, code=0

2d15h:

在Cisco WAN路由器上执行debug ip policy命令后，我们可以看到数据包被传递到

了防火墙，172.16.39.2：

Debug commands run from Cisco_WAN_Router:

"debug ip policy"

2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match

2d15h: IP: route map net-10, item 20, permit

2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100,

policy routed

2d15h: IP: Ethernet3/0 to Ethernet0/1 172.16.39.2

network · 发表于 2007-8-1 13:28:22

基于源地址的策略路由

阅读提示：基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力，传统上，路由器用从路由协议派生出来的路由表，根据目的地址进行报文的转发。
基于策略的路由
基于策略的路由技术概述：

基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力，传统上，路由器用从路由协议派生出来的路由表，根据目的地址进行报文的转发。

基于策略的路由比传统路由强，使用更灵活，它使网络管理者不能够根据目的地址而且能够根据，报文大小，应用或IP源地址来选择转发路径。策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量（QOS）。策略路由使网络管理者能根据它提供的机定一个报文采取的具体路径。而在当今高性能的网络中，这种选择的自由性是很需要的。

策略路由提供了这样一种机制：根据网络管理者制定的标准来进行报文的转发。策略路由用MATCH和SET语句实现路径的选择。

策略路由是设置在接收报文接口而不是发送接口。
基于源地址的策略路由
配置概述：

路由器A将192.1.1.1来的所有数据从接口S0发出，而将从192.1.1.2来的所有数据从接口S1发出。

路由器A定义几个二级接口作为测试点。路由器A和B配置RIP.在A的ETHERNET接口上应用IP策略路由图LAB1,为从192.168.1.1来的数据设置下一跳接口为S0，为从192..1.1.2来的数位设置下一跳接口为S1，所有其他的报文将用基于目的地址的路由。
路由器配置：

ROUTE A:

Version 11.2

No service udp-small-servers

No service tcp-small-servers

Hostname routerA

Interface ethernet0

Ip address 192.1.1.1 255.255.255.0 secondary

Ip address 192.1.1.2 255.255.255.0 secondary

Ip address 192.1.1.3 255.255.255.0 secondary

Ip address 192.1.1.10 255.255.255.0

Ip policy route-map lab1

//策略路由应用于E0口interface serial0

ip addr 150.1.1.1 255.255.255.0interface serial1

ip addr 151.1.1.1 255.255.255.0router rip

network 192.1.1.0

network 150.1.0.0

network 151.1.0.0ip local policy route-map lab1

//使路由器策略路由本地产生报文

no ip classless

access-list 1 permit 192.1.1.1

access-list 2 permit 192.1.1.2

route-map lab1 permit 10

//定义策略路由图名称：LAB1，10为序号，用来标明被匹配的路由顺序。

Match ip address 1

//匹配地址为访问列表1

Set interface serial0

//匹配下一跳为S0

Route-map lab1 permit 20

Match ip address 2

Set interface serial1

Line con0

Line aux0

Line vty 0 4

Login

End

路由器B为标准配置略。

network · 发表于 2007-8-1 13:47:23

双出口要作线路冗余分流的问题

问题：有一个cisco2621, 两个ISP 提供的接入(有一些固定 IP) ，现在想让两个线路冗余分流(同时负载而且有某个线路故障时能自动转到另一条),而且内网有WEB 服务器要提供给外网用户访问,同时要让内网用户上网 (应该设NAT)，应该怎么配(策略路由+NAT+...)

解答：

1、内部上网你可以用route-map进行分流。但别人访问你就目前的状态来说是没办法分流。

2、只能做分流。负载均衡在现有的环境下是做不到的。包括互为备份都做不到。

3、isp1---routerA e1

isp2 --routerA e2

routerA e3---switcher--web server and PC s

isp1 gw 10.10.10.1 e1 ip=10.10.10.10

isp2 gw 20.20.20.1 e2 ip=20.20.20.20

e3 ip=192.168.1.1

另isp 提供ip ：10.10.10.9 ;20.20.20.9

web server 有两个ip 192.168.1.100, 192.168.1.101

PC s ip 192.168.1.2 ----192.168.1.50

现想web server 做静态NAT(192.168.1.100 ---- 10.10.10.9;

192.168.1.101-----20.20.20.9) 并通过isp1出去,当出现故障时转到isp2

而PC s 做PAT 通过isp2出去,当出现故障时转到isp1

router A:

int e1

ip add 10.10.10.10/24

ip nat outside

int e2

ip add 20.20.20.20/24

ip nat outside

int e3

ip add 192.168.1.1/24

ip nat inside

ip policy route-map test

rtr 1－－－－－－配置SAA检查连通性。并跟踪这结果。很精巧的实现思路，最好按IP源地址进行分流。

type echo protocol ipicmpecho 10.10.10.1

rtr schedule 1 life forever start-time now

rtr 2

type echo protocol ipicmpecho 20.20.20.1

rtr schedule 2 life forever start-time now

track 123 rtr 1 reachability

track 124 rtr 2 reachability

route-map test permit 10

match ip add 110

set ip next-hop verify-availability 10.10.10.1 track 123

set ip next-hop verify-availability 20.20.20.1 track 124

route-map test permit 20

match ip add 120

set ip next-hop verify-availability 20.20.20.1 track 123

set ip next-hop verify-availability 10.10.10.1 track 124

ip nat inside source static 192.168.1.100 10.10.10.9

ip nat inside source static 192.168.1.101 20.20.20.9

ip nat inside source list 120 interface e2 overload

ip nat inside source list 120 interface e1 overload

access-list 110 permit ip 192.168.1.10 0.0.0.0 10.10.10.0 255.0.0.0

access-list 110 permit ip 192.168.1.10 0.0.0.0 20.20.20.0 255.0.0.0

access-list 110 permit ip 192.168.1.9 0.0.0.0 10.10.10.0 255.0.0.0

access-list 110 permit ip 192.168.1.9 0.0.0.0 20.20.20.0 255.0.0.0

access-list 120 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 20.0.0.0 255.0.0.0

access-list 120 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 10.0.0.0 255.0.0.0

ip route 0.0.0.0 0.0.0.0 10.10.10.1

ip route 0.0.0.0 0.0.0.0 20.20.20.1

network · 发表于 2007-8-1 13:48:16

R1

R1# show running-config

Building configuration...

.

!

interface Ethernet0/0

ip address 100.100.100.1 255.255.255.0

ip policy route-map blah

!

interface Serial1/0

ip address 10.10.10.1 255.255.255.0

!

interface Serial2/0

ip address 20.20.20.1 255.255.255.0

!

router ospf 1

!--- OSPF is not configured on Serial1/0.

log-adjacency-changes

network 20.20.20.0 0.0.0.255 area 0

network 100.100.100.0 0.0.0.255 area 0

!

ip classless

no ip http server

!

access-list 100 permit ip host 100.100.100.3 host 200.200.200.4

!

route-map blah permit 10

match ip address 100

set ip default next-hop 10.10.10.2

.

.

!

end

R2

R2# show running-config

Building configuration...

.

!

!

interface Ethernet0/0

ip address 200.200.200.2 255.255.255.0

ip policy route-map blah

!

interface Serial1/0

ip address 10.10.10.2 255.255.255.0

fair-queue

!

interface Serial2/0

ip address 20.20.20.2 255.255.255.0

!

router ospf 1

!--- OSPF is not configured on Serial1/0.

log-adjacency-changes

network 20.20.20.0 0.0.0.255 area 0

network 200.200.200.0 0.0.0.255 area 0

!

ip classless

no ip http server

!

access-list 100 permit ip host 200.200.200.4 host 100.100.100.3

!

route-map blah permit 10

match ip address 100

set ip default next-hop 10.10.10.1

!

end

账号		自动登录	找回密码
密码			注册