LAB:互联网出口备份

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

Keywords: NAT Policy Routing IVR Internet Gateway Backup

一位客户原来用2M DDN线路通过电信上互联网,现在新增了一条10M线路通过网通连接到互联网。客户希望在10M线路故障时自动能够切换到2M线路上。客户原有一台防火墙,要求无论使用哪一条线路,流量必须先经过防火墙过滤。

客户的局域网中只有数台二层交换机,划分了VLAN,使用3640承担VLAN间路由的任务。内网使用172.16.0.0/16地址,我们假设VLAN1连接3640与普通PC,VLAN2连接3640与防火墙(FW)的内网接口,VLAN10连接3640与防火墙的外网端口。设3640的E0/0端口连接到网通(CNC),S3/1连接到电信(CN)。IP地址如图所示。

实现原理:

PC1发出的数据包在3640的接口上进行策略路由处理,如果目标地址为本地的其它网段(172.16.0.0/16),则进行的普通路由转发;对于访问Internet的数据包,则将下一跳设为172.16.2.1,将数据包转发给防火墙。

防火墙对照规则进行过滤,允许通过的数据包将被转发给3640。这里假设icmp包是被禁止的,其它的数据包都是允许的。

3640收到来自于防火墙的数据包之后,进行NAT处理,如果当前CNC线路是通的(路由器选择的下一跳为202.1.1.254),则将源地址转换为202.1.1.2,从e0/0发送出去;否则转换为地址10.1.1.2,则端口s3/1发送到Internet上。

配置文件:

***** 3640 配置:

hostname 3640

!

interface Ethernet0/0

ip address 202.1.1.1 255.255.255.0

ip nat outside

!

interface FastEthernet1/0.1

encapsulation isl 1

ip address 172.16.1.254 255.255.255.0

ip policy route-map to_fw

!

interface FastEthernet1/0.2

encapsulation isl 2

ip address 172.16.2.254 255.255.255.0

!

interface FastEthernet1/0.10

encapsulation isl 10

ip address 192.168.1.254 255.255.255.0

ip nat inside

!

interface Serial3/1

ip address 10.1.1.1 255.255.255.0

ip nat outside

!

ip nat pool cnc 202.1.1.2 202.1.1.2 prefix-length 24

ip nat pool cn 10.1.1.2 10.1.1.2 prefix-length 24

ip nat inside source route-map nat_cn pool cn overload

ip nat inside source route-map nat_cnc pool cnc overload

ip route 0.0.0.0 0.0.0.0 202.1.1.254

ip route 0.0.0.0 0.0.0.0 10.1.1.254 100

!

access-list 1 permit 172.16.0.0 0.0.255.255

access-list 2 permit 202.1.1.254

access-list 3 permit 10.1.1.254

access-list 100 deny ip any 172.16.0.0 0.0.255.255

access-list 100 permit ip any any

route-map nat_cn permit 10

match ip address 1

match ip next-hop 3

!

route-map nat_cnc permit 10

match ip address 1

match ip next-hop 2

!

route-map to_fw permit 10

match ip address 100

set ip next-hop 172.16.2.1

!

***** FW 配置:

hostname "FW"

!

interface Ethernet0/0

ip address 172.16.2.1 255.255.255.0

ip access-group 100 in

!

interface Ethernet0/1

ip address 192.168.1.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 192.168.1.254

ip route 172.16.0.0 255.255.0.0 172.16.2.254

!

access-list 100 deny icmp any any

access-list 100 permit ip any any

***** CNC-R6 配置:

ostname CNC_R6

!

interface Loopback0

ip address 200.200.200.200 255.255.255.0

!

interface Ethernet0

ip address 202.1.1.254 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 202.1.1.1

line vty 0 4

password cisco

login

!

***** CN-R4 配置:

hostname CN_R4

interface Loopback0

ip address 200.200.200.200 255.255.255.0

!

interface Serial0

ip address 10.1.1.254 255.255.255.0

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.1.1.1

!

line vty 0 4

password cisco

login

!

***** PC1 配置:

hostname PC1

no ip routing

interface Ethernet0

ip address 172.16.1.1 255.255.255.0

no ip route-cache

!

ip default-gateway 172.16.1.254

测试:

1.当所有线路都正常时,从PC1可以telnet到200.200.200.200,使用的线路为CNC的。

PC1#telnet 200.200.200.200

Trying 200.200.200.200 ... Open

User Access Verification

Password:

CNC_R6show user

Line User Host(s) Idle Location

* 2 vty 0 idle 00:00:00 202.1.1.2

Interface User Mode Idle Peer Address

2.在3640上将e0/0 端口shutdown, 从PC1可以telnet到200.200.200.200,使用的线路为CN的。

PC1#telnet 200.200.200.200

Trying 200.200.200.200 ... Open

User Access Verification

Password:

CN_R4show user

Line User Host(s) Idle Location

0 con 0 idle 00:19:56

* 2 vty 0 idle 00:00:00 10.1.1.2

Interface User Mode Idle Peer Address

3.从PC1上Ping 200.200.200.200败,该数据包被FW禁止。

PC1#ping 200.200.200.200

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.200.200.200, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航