分享
 
 
 

LAB:互联网出口备份

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

Keywords: NAT Policy Routing IVR Internet Gateway Backup

一位客户原来用2M DDN线路通过电信上互联网,现在新增了一条10M线路通过网通连接到互联网。客户希望在10M线路故障时自动能够切换到2M线路上。客户原有一台防火墙,要求无论使用哪一条线路,流量必须先经过防火墙过滤。

客户的局域网中只有数台二层交换机,划分了VLAN,使用3640承担VLAN间路由的任务。内网使用172.16.0.0/16地址,我们假设VLAN1连接3640与普通PC,VLAN2连接3640与防火墙(FW)的内网接口,VLAN10连接3640与防火墙的外网端口。设3640的E0/0端口连接到网通(CNC),S3/1连接到电信(CN)。IP地址如图所示。

实现原理:

PC1发出的数据包在3640的接口上进行策略路由处理,如果目标地址为本地的其它网段(172.16.0.0/16),则进行的普通路由转发;对于访问Internet的数据包,则将下一跳设为172.16.2.1,将数据包转发给防火墙。

防火墙对照规则进行过滤,允许通过的数据包将被转发给3640。这里假设icmp包是被禁止的,其它的数据包都是允许的。

3640收到来自于防火墙的数据包之后,进行NAT处理,如果当前CNC线路是通的(路由器选择的下一跳为202.1.1.254),则将源地址转换为202.1.1.2,从e0/0发送出去;否则转换为地址10.1.1.2,则端口s3/1发送到Internet上。

配置文件:

***** 3640 配置:

hostname 3640

!

interface Ethernet0/0

ip address 202.1.1.1 255.255.255.0

ip nat outside

!

interface FastEthernet1/0.1

encapsulation isl 1

ip address 172.16.1.254 255.255.255.0

ip policy route-map to_fw

!

interface FastEthernet1/0.2

encapsulation isl 2

ip address 172.16.2.254 255.255.255.0

!

interface FastEthernet1/0.10

encapsulation isl 10

ip address 192.168.1.254 255.255.255.0

ip nat inside

!

interface Serial3/1

ip address 10.1.1.1 255.255.255.0

ip nat outside

!

ip nat pool cnc 202.1.1.2 202.1.1.2 prefix-length 24

ip nat pool cn 10.1.1.2 10.1.1.2 prefix-length 24

ip nat inside source route-map nat_cn pool cn overload

ip nat inside source route-map nat_cnc pool cnc overload

ip route 0.0.0.0 0.0.0.0 202.1.1.254

ip route 0.0.0.0 0.0.0.0 10.1.1.254 100

!

access-list 1 permit 172.16.0.0 0.0.255.255

access-list 2 permit 202.1.1.254

access-list 3 permit 10.1.1.254

access-list 100 deny ip any 172.16.0.0 0.0.255.255

access-list 100 permit ip any any

route-map nat_cn permit 10

match ip address 1

match ip next-hop 3

!

route-map nat_cnc permit 10

match ip address 1

match ip next-hop 2

!

route-map to_fw permit 10

match ip address 100

set ip next-hop 172.16.2.1

!

***** FW 配置:

hostname "FW"

!

interface Ethernet0/0

ip address 172.16.2.1 255.255.255.0

ip access-group 100 in

!

interface Ethernet0/1

ip address 192.168.1.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 192.168.1.254

ip route 172.16.0.0 255.255.0.0 172.16.2.254

!

access-list 100 deny icmp any any

access-list 100 permit ip any any

***** CNC-R6 配置:

ostname CNC_R6

!

interface Loopback0

ip address 200.200.200.200 255.255.255.0

!

interface Ethernet0

ip address 202.1.1.254 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 202.1.1.1

line vty 0 4

password cisco

login

!

***** CN-R4 配置:

hostname CN_R4

interface Loopback0

ip address 200.200.200.200 255.255.255.0

!

interface Serial0

ip address 10.1.1.254 255.255.255.0

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.1.1.1

!

line vty 0 4

password cisco

login

!

***** PC1 配置:

hostname PC1

no ip routing

interface Ethernet0

ip address 172.16.1.1 255.255.255.0

no ip route-cache

!

ip default-gateway 172.16.1.254

测试:

1.当所有线路都正常时,从PC1可以telnet到200.200.200.200,使用的线路为CNC的。

PC1#telnet 200.200.200.200

Trying 200.200.200.200 ... Open

User Access Verification

Password:

CNC_R6show user

Line User Host(s) Idle Location

* 2 vty 0 idle 00:00:00 202.1.1.2

Interface User Mode Idle Peer Address

2.在3640上将e0/0 端口shutdown, 从PC1可以telnet到200.200.200.200,使用的线路为CN的。

PC1#telnet 200.200.200.200

Trying 200.200.200.200 ... Open

User Access Verification

Password:

CN_R4show user

Line User Host(s) Idle Location

0 con 0 idle 00:19:56

* 2 vty 0 idle 00:00:00 10.1.1.2

Interface User Mode Idle Peer Address

3.从PC1上Ping 200.200.200.200败,该数据包被FW禁止。

PC1#ping 200.200.200.200

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.200.200.200, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有