校园网双出口组网案例
校园网双出口的设计与实现
校园网双出口的设计与实现一、引言随着互联网在教育行业中的广泛应用,校园网络已经成为学校管理的一个重要方面。
校园网络的稳定性和性能往往决定了教学、科研和管理等方面的质量与效率。
而校园网双出口的设计与实现,则是提高校园网稳定性和性能的重要方法之一。
二、校园网双出口的概念校园网双出口是指在校园网络中设置两个出口,分别接入两个不同的互联网服务提供商(ISP)。
通过运用硬件设备,实现对网络流量的智能分流和负载均衡,以提高校园网的可用性和稳定性。
三、校园网双出口的优势1.提高可靠性:只要一台ISP连接出现问题,就可以通过另一台ISP提供的连接继续网络服务,从而保证服务的可靠性。
2.增加带宽:通过双出口的方式,可以将校园网的总带宽扩大到两个ISP提供的带宽之和,提高了网络的数据传输速度。
3.减轻网络负荷:通过智能分流和负载均衡,可将不同流量集中到对应的出口线路,并且可以根据网络流量的情况,动态调整负载均衡的策略,减轻网络负荷。
4.降低成本:通过双出口的方式,可以实现备份和对称的带宽对接,有效降低带宽成本。
四、校园网双出口的实现校园网双出口的实现需要通过网络设备来实现,常用的设备为防火墙和负载均衡器。
下面介绍防火墙和负载均衡器如何实现校园网双出口的设计。
1.防火墙:防火墙作为校园网络传输的重要安全设备,对网络安全和稳定性起着至关重要的作用,如何将它作为双出口实现的设备?可以采用双防火墙+VIP虚拟IP实现,流量首先通过不同ISP到达不同的防火墙,其中一台防火墙作为主要出口,而另一台防火墙作为备份出口。
当主要出口防火墙出现故障时,备份出口防火墙将流量转发给主要出口防火墙,从而保证网络服务的连续性。
2.负载均衡器:负载均衡器可以将流量同时转发到不同的出口线路,使得多个出口可以协同工作,共同宽带吞吐量和无故障时间,提高设备和网络的可用性和稳定性。
实现方式为:将负载均衡器和两个ISP的CPE连接,负载均衡器会根据设定的算法(如轮询、权重、连接数等)按比例把网络流量分配给不同的ISP出口,实现负载均衡和流量调度。
校园网双出口网络设计与实现
2 1 年 9月 00
浙江纺织服装职业技术学 院学报
第 3期第 7 5页
WwW、MAI 、F P NS等 服务器 。 L T 、D
4 )两条线路 能互为备份 ,能根据 2个 出口的带 宽速率 ,对线路负 载进 行均衡 ,保 证 2条 出 口线路都 能得到充分有效地利用 ,达到 既经 济又高速 的 目的 。
结合教 育网和本地 IP的特点 ,采用 双 出口互 S
联 网接入后 ,要达 到既能减少流经教育 网的国际流 量 ,降低 网络运行 费用 ,又可 以增加 网络 出 口备份 路 由的 目的 ,需解决 以下 问题: 1 )尽量 不修 改客户端 参数配 置 ,使得用 户机 器 能正常工作 。
2 校园网双 出口相 关技术
2I 网络 地 址 转 换 NA . T
NA T能够 使 内部 I 址经过路 由器连接到 I E N T 时转 化为路 由器 外网 口设置 的公网地址 ,是 P地 NT R E
一
种成熟 的技术方 案 。其解 决方法 是当内部计算机 与外 部 网络通 信时 ,将 内部网络 访 问量 也较 多, 大 部分 的流量是通过 电信 网出 口出去 的。仅 当用户 访
问 C R T免 费站 点时,网络出 口为 C R T E NE E NE 。 3 )校 园网 内外的用 户都 能快速访 问校 园 网的
图 1 校园网双出口线路图
收 稿 日期 :2 1 00— 0 3— 2 9 作者简介:陈丹儿,女,浙江纺织服装职业技术学院,讲师 ,硕士 ( 浙江 宁波 3 5 1) 12 1
的地址 ,让用 户能高速访 问到服务 。
3 方 案设计与实现
31 网络 地 址 转 换 NA . T
本校 申请 了充足 的教育 网 I 址 ,在 内部校 园网主机访 问 C R E 时不需要 做 NA ,而 申请 的电 P地 ENT T 信公网 I P地址有 限,因此 ,需在 电信 网出口做 N T,将 内部 C R T主机 请求包 的源地 址映射 为电信 A E NE 网提供 的地址 ,这样请求包 就能够 以电信合法 的地址身份通 过 电信 网去请求服 务,而应答包 也会顺利 成 章 的从 电信 出口进入 校 园网相应 主机请求 ,建立 连接实现通信 。具体配置 如下:
高校校园网出口解决方案最佳实践
高校校园网出口解决方案最佳实践 - 华南农业大学展示^锐捷公司项目展示~不为参赛~只想展示1.2.1 项目背景2007年,锐捷网络携手华南农业大学,进行了万兆校园网升级改造:图1-1 华南农业大学全网拓扑图•骨干网升级为10G网络。
学校任何重要区域到服务区群和出口路由器均为万兆链路;•多核心、圆锥形骨干网设计。
学校任何重要区域到服务器群和出口均只有1跳路由;•四层架构,区域汇聚双归属设计。
从架构上充分保证网络稳定可靠;•全网的统一身份认证。
基于SAM系统的用户管理,以及符合学校特色的大量二次开发。
在骨干网络改造中,华山、东区、五组团三个区域增加了三台核心交换机RG-S8610,组成万兆环网,承担华南农业大学核心网,同时三台核心交换机与出口路由器Cisco C7606组成圆锥形的网络框架,万兆骨干数据流积聚于出口路由器。
万兆骨干的升级,使得校内流量剧增,校内带宽瓶颈得到很好的解决,同时也给出口网络带来了新的调整。
华南农业大学校园网共有信息点将近40000个,如此密集的信息点,对华南农大的出口形成了强大的冲击。
出口带宽利用率接近100%,出口带宽极其紧张(华南农业大学2007年的出口线路情况是:教育网1000M、电信100M),师生普遍反映Internet访问常有缓慢现象,影响了办公、教学、生活的网上应用开展。
1.2.2 项目目标提升出口NAT地址转换性能♦电信广域网带宽升级到300M;♦教育网链路升级为10G链路,动态带宽最高为1.5G。
准确分析出口应用带宽占比♦多少用户在使用哪些应用;♦每种应用占用了多少带宽资源。
精细管控出口应用带宽♦保证教学、办公、科研的关键应用;♦分时段限制P2P应用流量。
访问日志记录♦08奥运将至,公安部要求对所有校内用户访问校外进行行为记录,因此需要有一套高效的日志管理系统对出口设备的NAT日志进行收集,通过图形化查询界面快速查找相关日志信息。
2 案例分析该章节主要可从网络现状、业务现状、问题或需求等多个角度去分析,是对上一章案例概述的详细分析。
基于策略路由的双出口校园网
第29卷 第4期河北理工大学学报(自然科学版)Vol129 No14 2007年11月J ourna l of Hebe i Polytechn ic Un i ver sity(Na tur a l Science Edition)Nov.2007文章编号:1674-0262(2007)04-0114-03基于策略路由的双出口校园网李伟,吴涛,马军,贾成会(河北理工大学网络中心,河北唐山063009)关键词:策略路由;网络地址转换;访问控制摘 要:提出了一个校园网双出口的解决方案,详细阐述了其采用静态路由、网络地址转换和策略路由等关键技术设计和实现的过程。
中图分类号:TP393118 文献标识码:A0 引言校园网是高校信息化建设的基础设施,随着教育信息化建设的不断发展,如网上招生、远程教学和在线考试等网络教育实践活动的开展,各高校对校园网的应用也越来越广泛,同时对网络速度和网络稳定性的需求也越来越高。
但是受各种条件的限制,大部分高校校园网接入教育科研网的出口带宽较窄,访问公众网的速率很慢。
即便有些高校接入教育网的速率相对较高,但访问CERNET免费地址以外的资源时,要支付高昂的费用。
于是许多高校便采取同时接入CERNET和CH I NANET的方式以提高校园网访问速度和降低网络使用费用,这样同时具有CERNET和CH I NA NET两个出口的双出口校园网便应运而生。
因此,如何充分利用CERNET分配的I P地址资源和CH I NA N ET的高速出口带宽资源,作到最好的资源整合成为了必须解决的问题。
1 问题的分析和提出结合教育网和本地I SP的特点,考虑同时接入CERNET和CH I NANET,既能实现高速接入,有效减少流经教育网的国际流量,降低网络运行费用,又可以增加网络出口备份路由,避免由单一网络出口线路连接故障而造成的网络出口的中断,我们需要解决以下问题(1)所有服务器如WWW、FTP、S MTP以及DNS等都能被外部网络正常访问;(2)根据两出口的带宽速率,对线路负载进行均衡,保证两条出口线路都能得到充分有效的利用,以此达到既经济又高速的目的;(3)保证内部网络计算机具有合法的访问CH I N ANET的有效I P地址;(4)尽量保证国际流量流经本地I SP线路出口,以节约国际流量费用;对CERN ET及其联网单位的访问尽量经CERNET线路出口,以保证对教育科研单位的访问速率。
基于校园网的双出口边界网的路由规划
图 1 带双出 口的边界 网络拓扑图
CRE E N T链 路 出 , 则 从 C N E 否 HI AN T链 路 出 。 为 了监 管 好 校 园 网 内 的信 息 来 源 . C R E 为 E N T的健
由 汇 聚 路 由器 、 T设 备 和 边 界 路 由器 构 成 .设 置 有 NA CRE E N T出 口链 路 和 C NA E HI N T出 V 链 路 其 基 本 的 访 I
网络 建设
《 中国教 育信息化 》 编辑部 :/ rs r
这 里 提 到 的 备 案 服 务 器 就 是 由用 户 申请 、 主管 部 门批 准
后 . 了相 应 登记 的服 务 器 . 做
链路上是不可路由的 . 只能 从 C RN T出 口链 路 转 发 出 E E 去 显 然 , 源地 址 是 私 有地 址 的 , 论 在 哪条 出 口链路 上 不 都 是 不 可 路 由的 可 见 . 置 了 C RN T地 址 或 私有 地 配 E E 址 的 客户 机 可 以访 问 校 园 网 内部 , 要访 问外 网 . 能还 但 可 要 通 过 N T设 备 处理 A
便 地访 问所需 的资 源 在 校 园 网 中配 置 了 双 出 口边 界 网 后 .增 加 了网 络 的
则 在 C R T 链 E NE 路 进 行 . 否 则 在
C N E HI AN T链 路 进
行 :所 有 由校 冈 网 内部 主 动 发 起 的 访
复 杂 度 为 此 . 在实 施 这种 方 案 前 . 该 对 这种 边 界 网的 应
《 中国教育信 息化 》 发行部 : 1 c y
网络建设
基 于校 园 网 的双 出 口边 界 网 的 路 由规 划
西藏大学校园网双出口的设计和实现
收稿 日期 :0 O 1 一1 21 - O 3
第一作者简介 : 袁源( 9 1 , 汉族 , 1 8 一)男, 河南西平人, 西藏大学ห้องสมุดไป่ตู้代教育技术中心讲师 , 主要研 究方向为计算机 网络、 移动数
据库 。
— —
7 — 0 —
袁 源 , 宁 , 宝 坤 : 藏大 学 校 园 网双 出 口的设 计 和实 现 杨 安 西
网服务的国家骨干网, 有很多优秀的教育和科研资源 , 并且承担着 网上招生、 远程教学和在线考试等重要 任务 ,我 校 目前 很 多教 学 、科研 作都 离不 开 C R E 。但 由于西 藏特 殊 的地 理状 况 ,使 得 我校 接 人 E NT CR E E N T的通 信线路 一直 带宽 较低 且 费用 较 高 , 5 2 从 1K卫 星 、M D N到 15 D 目前 每年 的线 路 租 4 D 5 MS H,
( ①③ 西藏大学现代教 育技术 中心 西藏拉 萨 8 0 ② 电子科技 大学通信 学院 四川成都 6 0 5 ) 50 104
摘要 : 文章 分析 西藏 大 学校 园网的现状 和 问题 , 出一个教 育 网和公 网的双 出口解决 方案 , 阐述 了 提 并 其 采用 策略路 由、 网络地址 转换 等技 术的 实现过程 。
用 费超 百 万 , 15 的带 宽 已基 本饱 和 , 且 5M 如再 增加 到 C R E E N T接 人 线路 , 大 大增 加我 校 的经 费 负担 。 将
另外 , 由于 C R E E N T与 C IA E H N N T等电信运营商的互访带宽不足, 使得校 内用户访问公网上 的部分 资源 速度较慢 。 以上情况都限制 了我校校园网用户的发展和各类应用的开展 , 成为 目前迫切需要解决的问题。
开放大学校园网双出口的设计及实现
宽。 原有 单 一的教 育 网 出 口已不能 满足 , 通过 本地 网 络服 务 提供 商 ( P 开 辟第 二 出 口连 入互 联 网 。 为 I ) S 作
原有 出口链路的 补充 。这 是一个 较好 的解 决途径 , 既
2 Ci oCS 5 o内容 服 务 交 换 机 介 绍 s S1 0 e 1
七
三
收 稿 日期 :0 7 0 - 0 修 稿 日期 :0 7 1 -0 20 - 9 2 20 - 2 4
囊
作 者简介 : 李社 宏( 6 一 , 河北肥 乡人 , 士 , 1 4 ) 男, 9 硕 副教授 , 究方 向为校 园网的规 划与 建设 、 研 网络安 全
● MD NC PT 瑚7 OE  ̄ U R - R E 1 2
口 11 2 2 0 .3 .4 通 过 光 纤 直 接 连 接 到 教 育 网 / f0 . 31 3 ) 2 5
度过慢的问题, 同时, 有效减少教育网的国际流量 , 降
低 网络运 行费用1 1 1 园网访 问公 网速度 慢 的问题 的 校
确 得到 了解 决 . 反过来公 网访 问校 园网慢 的问题仍 但
维普资讯
\
开放大 学校 园网双 出 口的设计 及 实现
李社宏 , 欧新 宇 , 刘 骞
( 云南广播 电视 大学 网络 中心 。 昆明 6 0 2 ) 5 2 3
摘
要 :结合 远程教 育 的特定 需求 。 出基 于 cs 提 s内容 服务 交换机 的低 成本 校 园网双 出 口解 决 方案 以及 路 由策略 , 并在 实 际的 网络 建设 中得 到 了 实施 , 行效 果 良好 , 运 可为 开放 大学特 别是 广播 电视 大 学校 园网的建设提 供参 考和借 鉴。
校园网双出口策略路由实现链路备份解决方案
校园网双出口策略路由实现链路备份解决方案作者:刘胜珍姚志鸿杨威来源:《电脑知识与技术》2013年第17期摘要:随着高校网络的发展,所有院校的校园网在接入中国教育科研网(CERNET)的同时也租用如电信、联通、移动等网络的出口线路,以提高校园网用户的访问速度;在出口的配置上,如何做到两条链路互相备份是目前存在的问题;该文根据我校实际情况及NAQ的原理,在出口路由器上做策略路由,从而实现两条链路互相备份,保证了校园网络安全、稳定的运行。
关键词:双出口;策略路由;NAQ;链路备份中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)17-3939-021 校园网双出口原有设置及出现的问题我校校园网通过H3C—R6616路由器进行出口配置,网络出口有两条链路教育网和联通,由于教育网丢包现象严重,访问外网速度比较慢等原因,我校采取静态路由表和策略路由的方式进行分流,教育网所有免费的站点通过静态路由表走教育网出口,默认网关指向联通网关,所有外网和教育网收费站点通过默认网关出口,通过以上配置,校内用户访问外网速度明显加快。
2 H3C—R6616路由器具体的配置说明校园网的两个外网接口地址,192.168.1.254表示教育网出口地址,172.168.1.253表示联通出口地址。
2.1 H3C—R6616路由器配置2.2 遇到的问题通过以上设置,虽优化了我校的网络,对数据流量进行了有效的分流,但是目前出现的问题是,一旦联通线路出现故障,所有的外网基本都无法访问,无法做到双链路备份,如何解决当外部通信的其中一条线路断掉后能自动切换到另外一条线路,从而达到校园网的安全传输,是我校遇到的一个问题。
3 通过NQA配置,解决问题3.1 NQA的原理NQA(Network Quality Analyzer)网络质量分析是一种实时的网络性能探测和统计技术,可以对响应时间、网络抖动、丢包率等网络信息进行统计。
基于策略路由的双出口校园网的实现
校 园 网用 户访 问 INTERNET的 问题 。
关键 词 :策 略路 由 ;nat;校 园 网建设
中 图分类 号 :TP399
文 献标 识码 :A
文 章编 码 :1672—6251(2008)06一O114-03
The realization of to double exports cam pus network based on policy routing
维普资讯
《农业网络信  ̄.,552oo8年第 6期 网 络与 电子商 务/政务
基 于策 略路 由的双 出 口校 园网的实现
张其 梁
(哈尔 滨 医科 大学 网络 信 息 中心 ,黑龙 江 哈尔 滨 150081)
摘 要 :本 文 介绍 了基 于 策 略路 由的双 出 口校 园 网的 实现 ,理 论 联 系 实 际进 行 了分 析 、配置 ,较 好 地 解决 了混合 IP组 网的
辫 16
GE
图 1 哈 尔 滨 医 科 大 学 的 校 园 网 络 骨 干 拓0 作 者简 介 :张其 梁(1980一),男,助教 ,研 究方 向:网络通 信,信 息安 全 。
~
114 一
维普资讯
《农业网络信  ̄}2008年第6期 网络与电子商务/政务
NANET ;
f41尽 量 保 证 国 际 流 量 流 经 本 地 ISP线 路 出 口 , 以节 约 国际 流 量 费 用 :对 CERNET及 其 联 网 单
位 的 访 问尽 量 经 CERNET线 路 出 口 ,以 保 证 对 教 育 科 研 单 位 的访 问 速 率 。
为 了 解 决 上 述 问 题 .我 们 可 以 应 用 策 略 路 由 和 NAT地 址转 换 技 术 .当 CERNET地 址 的校 园 网用 户 访 问 CERNET免 费 地 址 时 直 接 走 CERNET 出 口 , 而 访 问其 他 地 址 时通 过 NAT把 地址 转 换 成 网通 地 址 然 后 走 网通 出 口。 私 有 地 址 的校 园 网用 户 访 问 CERNET免 费 地址 时 通过 NAT把 地 址 转 换 成 CERNET地 址 从 CER. NET出 口 出 去 .当 私 有 地 址 的 校 园 网用 户 访 问其 他 地 址 同 样 通 过 NAT把 地 址 转 换 成 网 通 地 址 然 后 走 网 通 出 口。
(国际贸易)校园网出口解决方案
(国际贸易)校园⽹出⼝解决⽅案校园出⼝设计解决⽅案项⽬⼩组:CRZ.FZU⼩组成员:詹长贵、陈志洲、荣融⽬录1. 校园⽹出⼝设计的重要性 (2)2 .当前校园⽹出⼝⾯临的挑战 (3)2.1多出⼝⽀持挑战 (3)2.2NAT性能挑战 (3)2.3安全防御挑战 (4)2.4流量控制挑战 (4)2.5内容审计挑战 (4)2.6⾼可靠挑战 (4)2.7扩展挑战 (4)3.选择的拓扑⽅案 (5)4. ⽅案分析 (5)4.1 双出⼝设计 (5)4.2 RSR-16E汇总出⼝数据 (6)4.3 ACE3000+NPE50的完美组合............................. 错误!未定义书签。
4.3.1 RG-ACE3000 (8)4.3.2NPE50 (11)5. 实现的技术 (15)5 .1 NAT技术 (15)5.2 PPTP VPN技术 (15)5.3策略路由技术 (16)5.4IPv6 over GRE 隧道技术 (16)5.5访问控制技术 (17)7. 产品的配件 (18)RSR-16E配件 (18)附件: (19)RSR-16E技术参数 (19)校园出⼝设计解决⽅案第⼀章校园⽹出⼝设计的重要性⽬前各⾼校对校园⽹的建设⾮常重视,⼤多数都建成了⼀个能满⾜数字、语⾳、图像等多媒体信息以及综合科研信息传输和处理需要的千兆以太综合数字⽹。
校园⽹⼤都采⽤了千兆以太⽹技术,百兆到桌⾯,⽹络结构为核⼼层、汇聚层和接⼊层三⼤部分。
随着各种⽹络教育实践活动的⼴泛开展,如⽹络办公、远程教学、科研⼯作、⽹上招⽣和在线培训考试等。
同时,校园⽹内部⽤户也需要对外⽹资源的访问。
出⼝,在世界数字化得今天,是我们通往世界的桥梁!第⼆章当前校园⽹出⼝⾯临的挑战2.1 多出⼝⽀持挑战当前⼤部分国内⾼校校园⽹出⼝都采⽤多出⼝的架构, 原因是:(1)提⾼访问不同⽹络资源的速度。
和电信、⽹通等运营商互联仅在北京、上海、⼴州三地有交换中⼼, 且带宽也不够⾼, 这就给教育⽹访问公⽹, 运营商⽹访问教育⽹带来瓶颈,需要采⽤多出⼝提⾼访问速度。
校园网双出口的设计与实现
内 蒙 古 科 技 与 经 济
I nrM o g l ce c c n lg & E o o n e n oi S in eTeh oo y a c n my
Ap i 2 1 r 0 1 1
N o. o a o 3 8 T t lN .2 4
第 8 总第 2 4 期 3 期
\ 5 18. 8 ●.●
.
1
NAT 是 一 个 I TF (n e n t工 程 任 务 组 ) E I tr e 标 准 , 许 一 个 整 体 机 构 以 一 个 公 用 I 地 址 出 现 在 允 P I NTERNE 上 , 质 上 是 一 种 把 内 部 私 有 I 地 址 T 实 P 翻译 成 合 法 I 地 址 的 技 术 , 将 访 问 公 众 网 的 校 园 P 即 网 内 部 计 算 机 I 地 址 翻 译 成 公 网 I 地 址 , 样 校 内 P P 这 用 户 可 自 由 访 问 公 众 网 的 站 点 。 NAT 有 三 种 类 型 : 静 态 NAT ( t tc NAT ) S a i 、动 态 地 址 转 换 NAT ( o ldNAT ) 网 络 地 址 端 口 转 换 NAP ( o t P oe 、 T P r — Le e v lNAT) 。静 态 NAT 是 设 置 起 来 最 为 简 单 和 最 容 易 实 现 的 一 种 , 部 网络 中 的 每 个 主 机 都 被 永 久 内 映 射 成 外 部 网 络 中 某 个 合 法 的 地 址 。 动 态 NAT 则 而 是 在 外 部 网 络 中定 义 了一 系 列 的 合 法 地 址 , 用 动 采 态 分 配 的 方 法 映 射 到 外 部 网 络 。NAP 则 是 把 内 部 T 地 址 映 射 到 外 部 网络 的 一 个 I 地 址 的 不 同 端 口上 。 P 由 于 很 多 学 校 的 域 名 和 I 地 址 等 资 源 依 托 于 P 教 育 网 , 非 教 育 网用 户 访 问 校 园 网 服 务 器 时 , 出 当 发 的 资 源 请 求 从 非 教 育 网 进 入 教 育 网 , 过 路 由 器 到 通 达 校 内服 务 器 。 按 照 默 认 的 目的 地 址 路 由 , 务 器 但 服 返 回 的 数 据 包 中 目 的地 址 是 公 网 的 地 址 , 回 的 数 返 据 包 会 被 路 由 到 连 接 本 地 IP 的 防 火 墙 , 后 通 过 S 然 NAT 转 换 , 变 了 返 回 数 据 包 的 源 地 址 , 回 的 数 改 返 据 包 到 达 该 客 户 机 时 , 客 户 机 必 然 会 丢 弃 此 数 据 该 包 , 样 就 会 造 成 公 众 网 用 户 无 法 访 问 校 园 网 内 部 这 的服 务 器 。 出 现 上 述 问 题 , 由于 服 务 器 返 回 的 数 据 包 被 是 路 由 到 了 连 接 本 地 I P 的 防 火 墙 , 变 了 数 据 包 的 S 改 源 地 址 。 此 , 须 让 服 务 器 返 回 的 数 据 包 被 路 由 到 因 必 教育 网 出 口, 样 才不改 变源地 址 , 网用户 才能访 这 公 问 校 园 网 的 服 务 器 。 决 的 方 法 是 在 主 、 校 区两 个 解 分 核 心交换 机 上对 服 务器 作基 于源地 址 的 策略 路由 ,
华为_MSR路由器_教育网双出口NAT服务器的典型配置
华为 MSR路由器教育网双出口NAT服务器的典型配置一、组网需求: MSR 的 G0/0 连接某学校内网, G5/0 连接电信出口, G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。
电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校一、组网需求:MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。
电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。
该校内网服务器192.168.34.55需要对外提供访问,其域名是,对应DNS解析结果是211.1.1.4。
先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。
设备清单:MSR一台二、组网图:三、配置步骤:适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。
四、配置关键点:1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现;2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去;3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策略;4) 在G0/0应用2个NAT的作用是使内网可以通过访问211.1.1.4访问内部服务器,如果只使用NAT Outbound Static,那么内部主机192.168.1.199发送HTTP请求的源、目的地址对<192.168.1.199, 211.1.1.4>会变成<192.168.1.199, 192.168.34.55>然后发送给内部服务器,那么内部服务器会把HTTP响应以源、目的地址对<192.168.34.55, 192.168.1.199>直接返回给内部主机(192.168.1.199可以经过内部路由不需要经过MSR到达)因此对于内部主机来说始终没有接收到211.1.1.4返回的HTTP响应,因此打开网页失败。
校园网双出口路由的设计与实现
教 学 、科 研 以 及 基 于 Itme 的 各 种 应 用和 服 务提 供 的 要 求 正 是 ne t 本 文 所 要解 决 的 问题 。
图 1 校 园网双 出口
校 园 网 改 造 前 , 网络 出 口通 过 10兆 光 纤 接 入 C R T, 0 E NE 校
使用费 用。 山东交通学院 于 20 02年 开 始 对 校 园 网进 行 升 级 改 造 。网 络 中心 核 心 交 换 机 采 用 CICO60 S 5 9双 核 心 路 由 交换 机 。 办 公 、 各 教
学及 宿舍区使 用 CS ICO3 5 50作 为 汇 聚 层 交 换 机 , 聚 层 交 换 机 汇 通 过 干 兆 光 纤 连 接 至 网络 中心 核 心 交 换 机 。在 校 园 网 出 口方 面 .
一
、
引言
由于 涉 及 到 网 络 安 全 , 园 网 各 出 口地 址 用 其 他 地 址 代 替 , 校 校 园 网 接 口拓 扑 见 图 1 其 中 C R T 提供 的接 口地 址 为 : 。 E NE 100 ., 端 接 口地 址 为 :0 .. 1 广 电 网提 供 的 接 口地 址 为 : 0 ..2 对 0 100 .; 0
扩 展 , 前 单 一 C RNE 中 国 教 育 科 研 网 ) 口 的 校 园 网 在 以 E T( 出 带 宽 及 使 用 费 用 上 已 经 不 能 满 足 日益 增 长 的 网络 访 问 的 需 求 。
200 ., 端 接 口地 址 :0...; 园 网 内 部 采 用 C R T 提 0 ..2 对 0 2 00 1校 0 E NE
调 工作 , 理 地 分 担 了进 出校 园 网 的 流 量 。 高 了校 园 网双 合 提
采用双出口的校园网的技术分析及实现
Vol.28No.2Feb.2012第28卷第2期(下)2012年2月赤峰学院学报(自然科学版)Journal of Chifeng University (Natural Science Edition )1引言在很多高校的校园网建设中,基于访问速度、资源利用情况和费用的考虑,在接入教科网的同时,还会选择其他ISP 接入方式.通常情况下,当校园网中采用双出口时,要求对原有的用户的影响应尽可能少,即任何客户端IP 地址设置都不用修改,使用户能正常访问网络;当用户访问教科网的网站时,走经由连接到教科网的出口,访问其他网站包括国外站点时,走经由连接到其他ISP 的出口;外部公众网的用户访问校园网的Web 、FTP 、M ail 、DNS 等服务器时,即可以通过教科网提供的IP 地址访问,也可以通过其他ISP 提供的IP 地址访问.2存在的问题分析图2-1所示为校园网采用双出口时的网络连接拓扑图.这样的连接通常会带来两个方面的问题,一方面是内部用户访问外网时如何分流,另一方面就是对外发布的服务(如WEB 服务)如何提供给外部访问的问题.当内部用户访问外部网络时,考虑到通过教科网访问其外的网络流量要收费,且访问速度没有其他ISP 快,所以一般要求所有目的地址为教科网的访问流量走教科网,其他流量走联通网.WEB 服务器同时使用教科网和联通网对外发布,当客户机位于教科网,访问WEB 服务时访问的是联通网提供的IP 地址,发出的数据包会从GE2进入,而返回的数据包会从ETH0出来,当任何一条链路故障时,都将无法正常访问服务器.当客户机位于教科网以外,访问WEB 服务时访问的是教科网提供的IP ,也会有同样的问题出现.即便网络链路正常,对服务器的访问也存在不确定性因素.要解决以上问题,需要保证当外部客户机访问服务器的数据包从那一个接口进入内部网络就应从该接口返回.3网络接入基本技术3.1静态路由与默认路由静态路由就是手工配置的路由,使得数据包能够按照设定的路径传送到指定的目标网络.如果路由器遇到没有确切路由的数据包时,通常是按照设定的默认路由进行传送,默认路由是一种特殊的静态路由.3.2策略路由基于策略的路由不仅能够根据目的地址,而且能够根据协议类型、报文大小、应用、IP 源地址或者其它的策略来选择转发路径.策略可以根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS 或者满足某种特定需求.3.3NATNAT 即网络地址转换,是用于解决内部网络连接到公共网络时的一种地址变换技术.通常在内部网络中使用私有IP 地址,当内部网络中的计算机与公共网络中的计算机通信时,NAT 设备将内部网络私有地址转换成公共网络上合法的IP 地址,使通信能正常进行.NAT 有三种常用类型:静态NAT :按照一一对应的方式将每个内部IP 地址转换为一个外部IP 地址,这种方式经常用于内部网的服务器需要能够被外部网络访问到时.动态NAT :将一个内部IP 地址转换为一组外部IP 地址(地址池)中的一个IP 地址,这种转换不是固定的,而是动态的.超载(Overloading )NAT (也称为NAPT ):是动态NAT 的一种实现形式,在转换时利用了端口号,将[内部IP 地址,端采用双出口的校园网的技术分析及实现李文池1,2,杨世平1(1.贵州大学,贵州贵阳550000;2.贵州电子信息职业技术学院,贵州凯里556000)摘要:针对双出口校园网络提出一种采用静太路由、NAT 、源地址策略路由技术的综合解决措施方案,主要解决了网络流量分配和通过双出口访问校园网服务器的问题.关键词:双出口;静态路由;策略路由;NAT 中图分类号:TP393.18文献标识码:A 文章编号:1673-260X (2012)02-0031-02基金项目:贵阳市科学技术计划项目,[2009],科2合同字第1-052号图2-1网络连接拓扑图31--口号]转换为[外部IP地址,端口号],使得只用少量的外部IP 地址就可以支持内部网络大量的客户端.4技术解决方案对于内部用户访问外网时如何分流的问题,通常在出口设备上设置默认路由和静态路由,并配合NAT和ACL来实现.设置静态路由,使得所有访问目的地址为教科网的流量,经由接口ETH0走,目的地址为非教科网的流量经由接口GE2走.在接口GE0->ETH0,GE0->GE2方向设置源址NAPT.对于WEB服务器的问题,需要保证当外部客户机访问服务器的数据包从那一个接口进入内部网络就应从该接口返回.可以采用源IP地址的策略路由技术来解决这个问题,基于源IP地址的策略允许根据IP包的始发地做出路由选择,在WEB服务器上设两IP地址,一个IP地址做静态NAT映射到教科网提供的公网IP地址,另一个IP地址做静态NAT映射到联通网提供的IP地址,这样,就可以由使得返回的数据包由服务器的IP地址来确定是走哪一个接口出去.内部用户访问外网的主要配置如下:interface GE0ip address192.168.10.1255.255.255.0ip nat insideinterface ETH0ip address210.x.x.1255.255.255.0ip nat outsideinterface GE2ip address111.y.y.65255.255.255.248ip nat outsideaccess-list100permit ip192.168.10.00.0.0.255 A.B.C.D0.0.0.255//列出所有教科网IP......access-list110deny ip192.168.10.00.0.0.255 A.B.C.D0.0.0.255//列出所有教科网IP......access-list110permit ip192.168.10.00.0.0.255anyip nat inside source list100interface ETH0overloadip nat inside source list110interface GE2overloadip route0.0.0.00.0.0.0111.y.y.66ip route A.B.C.D255.255.255.0210.x.x.2//列出所有教科网IP......源IP地址的策略路由配置如下:interface GE1ip address192.168.100.1255.255.255.0ip nat insideip policy route-map soucepolicyip nat inside source static192.168.100.101210.x.x.101 ip nat inside source static192.168.100.102111.y.y.67access-list10permit192.168.100.101//WEB服务器IP1access-list11permit192.168.100.102//WEB服务器IP2route-map soucepolicy permit10match ip address10set ip next-hop210.x.x.2//走教科网route-map soucepolicy permit20match ip address11set ip next-hop111.y.y.66//走联通网5总结在校园网出口节点位置采用了四端口防火墙,综合运用了静态路由、NAPT、静态NAT和策略路由技术,解决了网络访问流量的问题,充分整合了教科网和本地ISP的优势资源,有效控制了网络使用费用,减少了网络设备和服务器数量,降低了网络建设成本,比较理想的解决了校园网双出口的问题.———————————————————参考文献:〔1〕(美)Richard NP学习指南:组建Cisco多层交换网络(BCMSN).人民邮电出版社,2007.〔2〕(美)Diane NP学习指南:组建可扩展的Cisco 互连网络(BSCI).人民邮电出版社,2007.〔3〕廖淑华.策略路由技术在多出口网络中的应用.吉林师范大学学报(自然科学版),2010(02).〔4〕赵秋菊.多出口校园网络的路由与防火策略.电脑知识与技术,2009(06).32 --。
经典案例:H3C校园网双出口配置
经典案例:H3C校园网双出口配置一、案例分析本案例以某高校的校园网出口为例,来展示NAT及策略路由等主流技术的应用场景。
案例中共有4台设备,包括3台路由器和1台交换机,分别是电信公网路由器、教育网路由器,模拟校园网出口路由器和校园网接入交换机。
本案例出口路由器使用H3C-MSR3011E来实现相关功能,电信和教育网使用H3C-MSR2020来实现相关功能,使用s3600三层交换机来模拟校园网接入交换机。
在实际组网中出口路由器一般采用SR66系列或更高的SR88路由器。
案例中的校园网分两个网段,分别为校园网宿舍用网及校园办公、教学用网段,前者主要通过电信访问公网,后者主要通过教育网访问教育网资源。
案例在校园网出口处用策略路由来控制校园内不同网段走相应的网络,校园内网模拟了一台服务器,对公网提供www访问服务二、案例前置知识点1、H3C公司简介H3C的前身华为3COM公司,是华为与美国3COM公司的合资公司。
2006年11月,华为将在华为3COM中的49%股权以8.8亿美元出售给3COM公司。
2007年4月,公司正式更名为“杭州华三通信技术有限公司”,简称“H3C”。
当前数据通信市场主要分为电信运营商和企业网市场,华为一直专注于运营商市场,而H3C主要专注于企业网市场。
CISCO的业务则跨运营商和企业网市场,并在这两个市场上保持一定的领先地位。
在运营商市场上华为是cisco的主要对手,而在企业网市场H3C是cisco 的主要对手。
Cisco在能源、金融、国际企业、电力等行业有优势,而H3C在政府、烟草、交通、中小企业及相关的政府采购有优势。
在中国路由器与交换机领域,H3C的市场份额已位居第一。
2、H3C产品体系经过多年的发展,H3C网络产品线已经具有业界最全的网络产品,包括全系列路由器、交换机、WLAN、ICG信息通信网关和业务软件产品。
同时H3C始终探索客户需求,为用户提供新一代统一交换架构数据中心解决方案、ipv6解决方案、虚拟园区网解决方案、园区有线无线一体化解决方案、统一智能管理解决方案、EAD解决方案、3G路由接入解决方案、光电双向改造解决方案、可运营可管理无限宽带解决方案等一些列解决方案。
校园网双核心(MSTP+VRRP)的拓扑实现和配置实例
VRRP技术概述(cont.)
VRRP是一种容错协议,它保证当主机的下一跳路由器失 效时,可以及时的由另一台路由器来替代,从而保持通讯 的连续性和可靠性。 为了使VRRP工作,要在路由器上配置虚拟路由器号和虚 拟IP地址,同时会产生一个虚拟MAC(00-00-5E-00-01[VRID])地址,这样在这个网络中就加入了一个虚拟路由 器。 一个虚拟路由器由一个主路由器和若干个备份路由器组成, 主路由器实现真正的转发功能。当主路由器出现故障时, 一个备份路由器将成为新的主路由器,接替它的工作。
VRRP组规划
表三 VRRP组规划 组规划 用途 生产用户VLAN 生产用户VLAN OA用户 用户VLAN 用户 OA服务器 服务器VLAN 服务器 视频会议VLAN 视频会议 交换机管理VLAN 交换机管理 互连网段VLAN 互连网段 VRRP组地址 1-10 11-20 21-30 31-40 99 100
!将vlan10、30放入实例1中 每个实例都会生成一个独立的生成树
RG-S21A(config-mst)#revision 1 !配置多生成树的版本号 RG-S21A(config-mst)#instance 2 vlan 20,40
!将vlan20、40放入实例2中
RG-S21A(config-mst)#revision 1 RG-S21A(config-mst)#exit
A vlan1ห้องสมุดไป่ตู้
CST
C vlan2
MST region 1
MST region 2 vlan2
vlan1 B D
提纲
MSTP技术概述 VRRP技术概述 校园网双核心(MSTP+VRRP)的拓扑实现 校园网双核心(MSTP+VRRP)的配置实例 MSTP+VRRP 注意事项
SRG2200配置案例(校园网出口网关举例)
SRG2200配置案例(校园网出口网关举例)校园网(大型企业)出口网关举例SRG 作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以避免P2P 流量阻塞网络,并保护内网不受网络攻击。
组网需求某学校网络通过SRG 连接到Internet,校内组网情况如下:l 学校有校内用户约500 个、提供对外访问的服务器2 台。
校内用户主要分布在教学楼和宿舍区,校内2 台提供对外访问的服务器分布在图书馆,是该校主页、招生及资源共享等网站。
l 学校分别通过两个不同运营商链路连接到Internet,带宽都是100M。
两个运营商ISP1、ISP2 分别为该校分配了5 个IP 地址。
ISP1 分配的IP 地址是200.1.1.1 ~200.1.1.5,ISP2 分配的IP 地址是202.1.1.1 ~202.1.1.5。
ISP1 提供的接入点为200.1.1.10,ISP2 提供的接入点为202.1.1.10。
该学校网络需要实现以下需求:l 校内用户能够通过两个运营商访问Internet,且为了提高访问速度,需要去往不同运营商的流量由分别连接两个运营商的对应接口转发。
l 当一条链路出现故障时,能够保证流量及时切换到另一条链路,避免网络长时间中断。
l 校内用户和校外用户都能够访问学校提供对外访问的服务器。
l 由于该学校P2P 流量较大,对网络影响严重,需要对校内用户进行P2P 限流。
l 需要保护内部网络不受到SYN Flood、UDP Flood 和ICMP Flood 攻击。
网络规划根据校园网络情况和需求,网络规划如下:l 为了实现校园网用户使用有限公网IP 地址接入Internet,需要配置NAPT 方式的NAT,借助端口将多个私网IP 地址转换为有限的公网IP 地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网地址。
即创建两个安全区域ISP1 和ISP2(安全优先级低于DMZ 区域),并分别在Trust—ISP1 域间、Trust—ISP2 域间配置NAT outbound。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
校园网双出口组网案例VPC2:192.168.2.100GW:192.168.2.1VLAN2 VPC3:192.168.3.100GW:192.168.3.1VLAN3 SW2配置:SW2#vlan databaseSW2(vlan)#vtp transportSW2(vlan)#vtp tranSW2(vlan)#vtp transparentSW2(vlan)#vlan 2SW2(vlan)#vlan 3SW2(vlan)#exitSW2#config tSW2(config)#int vlan 2SW2(config-if)#ip add 192.168.2.1 255.255.255.0SW2(config-if)#no shutSW2(config-if)#int vlan 3SW2(config-if)#ip add 192.168.3.1 255.255.255.0SW2(config-if)#exitSW2(config)#int f1/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 3SW2(config-if)#int f1/1SW2(config-if)#no switchportSW2(config-if)#ip add 192.168.1.2 255.255.255.252SW2(config-if)#no shutSW2(config-if)#exitSW2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1//缺省路由指向RTSW2(config)#ip route 192.168.0.0 255.255.0.0 null 0//黑洞路由,在RT1上配置了一条汇总路由指向SW2,为了防止路由环路。
TEL配置:Tel-Internet(config)#interface Loopback0Tel-Internet(config-if)#ip address 202.202.0.1 255.255.255.255Tel-Internet(config-if)#no shutTel-Internet(config)#interface FastEthernet1/0Tel-Internet(config-if)#ip address 222.222.222.1 255.255.255.252Tel-Internet(config-if)#no shutTel-Internet(config)#interface FastEthernet2/0Tel-Internet(config-if)#ip address 202.202.202.1 255.255.255.252Tel-Internet(config-if)#no shutTel-Internet(config)#ip route 200.200.0.0 255.255.0.0 222.222.222.2Tel-Internet(config)#ip route 202.202.0.0 255.255.0.0 Null0EDU配置Edu-Internet(config)#interface Loopback0Edu-Internet(config-if)#ip address 200.200.0.1 255.255.255.255Edu-Internet(config-if)#no shutEdu-Internet(config)#interface FastEthernet1/0Edu-Internet(config-if)#ip address 222.222.222.2 255.255.255.252Edu-Internet(config-if)#no shutEdu-Internet(config)#interface FastEthernet3/0Edu-Internet(config-if)#ip address 200.200.200.1 255.255.255.252Edu-Internet(config-if)#no shutEdu-Internet(config)#ip route 200.200.0.0 255.255.0.0 Null0Edu-Internet(config)#ip route 202.202.0.0 255.255.0.0 222.222.222.1RT1配置:RT1(config)#int f1/0RT1(config-if)#ip add 192.168.1.1 255.255.255.252RT1(config-if)#no shutRT1(config)#int f2/0RT1(config-if)#ip add 202.202.202.2 255.255.255.252RT1(config-if)#int f3/0RT1(config-if)#ip add 200.200.200.2 255.255.255.252RT1(config-if)#no shutRT1(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.2RT1(config)#ip route 0.0.0.0 0.0.0.0 202.202.202.1RT1(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.1 30//浮动静态路由实现主备,线路失效自动切换RT1(config)#access-list 10 permit 192.168.3.0 0.0.0.255//区分需要策略路由的流量RT1(config)#route-map 3 permit 10//建立route-mapRT1(config-route-map)#match ip address 10 //配置访问控制列表10RT1(config-route-map)#set ip next-hop 200.200.200.1//设置下一跳为200.200.200.1RT1(config-route-map)#exitRT1(config)#int f1/0RT1(config-if)#ip policy route-map 3//将策略路由绑定到F1/0测试下PC3 192.168.3.100ping 200.200.200.1在RT1上debug ip policy 10*Mar 1 00:39:03.815: IP: tableid=0, s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1 (FastEthernet3/0), routed via FIB*Mar 1 00:39:03.819: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1, len 84, policy match*Mar 1 00:39:03.823: IP: route map 3, item 10, permit*Mar 1 00:39:03.823: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1 (FastEthernet3/0), len 84, policy routed*Mar 1 00:39:03.827: IP: FastEthernet1/0 to FastEthernet3/0 200.200.200.1*Mar 1 00:39:03.827: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1 (FastEthernet3/0), g=200.200.200.1, len 84, forward策略路由生效了,正常流量应该从F2/0转发的,192.168.3.0实行了策略路由所以从F3/0转发了配置NAT(方法一)RT1(config)#access-list 101 permit ip 192.168.0.0 0.0.255.255 any//定义需要NA T处理的流量RT1(config)#route-map TEL permit 10//建立route-map ,走电信的RT1(config-route-map)#match ip address 101//匹配流量RT1(config-route-map)#match interface f2/0//匹配出接口RT1(config-route-map)#exitRT1(config)#route-map EDU permit 10//建立route-map ,走教育网的RT1(config-route-map)#match ip address 101//匹配流量RT1(config-route-map)#match interface f3/0//匹配出接口RT1(config)#int f1/0RT1(config-if)#ip nat insideRT1(config-if)#int f2/0RT1(config-if)#ip nat outsideRT1(config-if)#int f3/0RT1(config-if)#ip nat outsideRT1(config-if)#exitRT1(config)#ip nat inside source route-map TEL int f2/0 overload//走电信的转换成F2/0的IP RT1(config)#ip nat inside source route-map EDU int f3/0 overload//走教育网的转换成F3/0IP 测试下:VPCS 3 >ping 202.202.0.1202.202.0.1 icmp_seq=1 timeout202.202.0.1 icmp_seq=2 time=89.000 ms202.202.0.1 icmp_seq=3 time=117.000 ms202.202.0.1 icmp_seq=4 time=87.000 ms202.202.0.1 icmp_seq=5 time=70.000 msRT1(config)#do show ip nat trPro Inside global Inside local Outside local Outside globalicmp 200.200.200.2:11836 192.168.3.100:11836 202.202.0.1:11836 202.202.0.1:11836icmp 200.200.200.2:12092 192.168.3.100:12092 202.202.0.1:12092 202.202.0.1:12092icmp 200.200.200.2:12348 192.168.3.100:12348 202.202.0.1:12348 202.202.0.1:12348icmp 200.200.200.2:12604 192.168.3.100:12604 202.202.0.1:12604 202.202.0.1:12604icmp 200.200.200.2:12860 192.168.3.100:12860 202.202.0.1:12860 202.202.0.1:128601VPCS 2 >ping 200.200.0.1200.200.0.1 icmp_seq=1 timeout200.200.0.1 icmp_seq=2 time=118.000 ms200.200.0.1 icmp_seq=3 time=93.000 ms200.200.0.1 icmp_seq=4 time=66.000 ms200.200.0.1 icmp_seq=5 time=99.000 msRT1(config)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 202.202.202.2:31036 192.168.2.100:31036 200.200.0.1:31036 200.200.0.1:31036icmp 202.202.202.2:31292 192.168.2.100:31292 200.200.0.1:31292 200.200.0.1:31292icmp 202.202.202.2:31548 192.168.2.100:31548 200.200.0.1:31548 200.200.0.1:31548icmp 202.202.202.2:31804 192.168.2.100:31804 200.200.0.1:31804 200.200.0.1:31804icmp 202.202.202.2:32060 192.168.2.100:32060 200.200.0.1:32060 200.200.0.1:32060把去往电信的线路断了RT1(config-if)#do show ip int brInterface IP-Address OK? Method Status Protocol FastEthernet1/0 192.168.1.1 YES manual up upFastEthernet2/0 202.202.202.2 YES manual administratively down down FastEthernet3/0 200.200.200.2 YES manual up up VPCS 2 >ping 200.200.0.1200.200.0.1 icmp_seq=1 timeout200.200.0.1 icmp_seq=2 time=75.000 ms200.200.0.1 icmp_seq=3 time=18.000 ms200.200.0.1 icmp_seq=4 time=74.000 ms200.200.0.1 icmp_seq=5 time=28.000 msRT1(config-if)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 200.200.200.2:2642 192.168.2.100:2642 200.200.0.1:2642 200.200.0.1:2642icmp 200.200.200.2:2898 192.168.2.100:2898 200.200.0.1:2898 200.200.0.1:2898icmp 200.200.200.2:3154 192.168.2.100:3154 200.200.0.1:3154 200.200.0.1:3154icmp 200.200.200.2:3410 192.168.2.100:3410 200.200.0.1:3410 200.200.0.1:3410icmp 200.200.200.2:3666 192.168.2.100:3666 200.200.0.1:3666 200.200.0.1:3666把教育网的线路断了RT1(config-if)#do show ip int brInterface IP-Address OK? Method Status Protocol FastEthernet1/0 192.168.1.1 YES manual up up FastEthernet2/0 202.202.202.2 YES manual up up FastEthernet3/0 200.200.200.2 YES manual administratively down downicmp 202.202.202.2:8020 192.168.3.100:8020 200.200.0.1:8020 200.200.0.1:8020icmp 202.202.202.2:8276 192.168.3.100:8276 200.200.0.1:8276 200.200.0.1:8276icmp 202.202.202.2:8532 192.168.3.100:8532 200.200.0.1:8532 200.200.0.1:8532icmp 202.202.202.2:8788 192.168.3.100:8788 200.200.0.1:8788 200.200.0.1:8788icmp 202.202.202.2:9044 192.168.3.100:9044 200.200.0.1:9044 200.200.0.1:9044VPCS 3 >ping 200.200.0.1200.200.0.1 icmp_seq=1 time=64.000 ms200.200.0.1 icmp_seq=2 time=35.000 ms200.200.0.1 icmp_seq=3 time=126.000 ms200.200.0.1 icmp_seq=4 time=73.000 ms200.200.0.1 icmp_seq=5 time=104.000 ms192.168.2.0/24是走电信的吧,电信断了就走教育网192.168.3.0/24的,网段现走教育网了吧,教育网断了,就走电信了,成功了吧配置NAT(方法二)RT1(config)#access-list 101 permit ip 192.168.0.0 0.0.255.255 any//定义需要NA T处理的流量RT1(config)#access-list 1 permit host 202.202.202.1RT1(config)#access-list 2 permit host 200.200.200.1RT1(config)#route-map TEL permit 10//建立route-map ,走电信的RT1(config-route-map)#match ip address 101//匹配流量RT1(config-route-map)#match ip next-hop 1//匹配下一跳RT1(config-route-map)#exitRT1(config)#route-map EDU permit 10//建立route-map ,走教育网的RT1(config-route-map)#match ip address 101//匹配流量RT1(config-route-map)#match ip next-hop 2//匹配下一跳RT1(config)#int f1/0RT1(config-if)#ip nat insideRT1(config-if)#int f2/0RT1(config-if)#ip nat outsideRT1(config-if)#int f3/0RT1(config-if)#ip nat outsideRT1(config-if)#exitRT1(config)#ip nat inside source route-map TEL int f2/0 overload//走电信的转换成F2/0的IP RT1(config)#ip nat inside source route-map EDU int f3/0 overload//走教育网的转换成F3/0IP思考:1.如果我现在用PC2 ping200.200.200.1,它会走哪边呢?2.如果教育网的200.200.200.1断了,PC3还能上网吗?分析:1.VPCS 2 >ping 200.200.200.1200.200.200.1 icmp_seq=1 time=104.000 ms200.200.200.1 icmp_seq=2 time=61.000 ms200.200.200.1 icmp_seq=3 time=83.000 ms200.200.200.1 icmp_seq=4 time=68.000 ms200.200.200.1 icmp_seq=5 time=71.000 msRT1(config)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 200.200.200.2:47932 192.168.2.100:47932 200.200.200.1:47932 200.200.200.1:47932 icmp 200.200.200.2:48188 192.168.2.100:48188 200.200.200.1:48188 200.200.200.1:48188 icmp 200.200.200.2:48444 192.168.2.100:48444 200.200.200.1:48444 200.200.200.1:48444 icmp 200.200.200.2:48700 192.168.2.100:48700 200.200.200.1:48700 200.200.200.1:48700 icmp 200.200.200.2:48956 192.168.2.100:48956 200.200.200.1:48956 200.200.200.1:48956怎么不是202.202.202.1呢?查看一下路由表:C 200.200.200.0/30 is directly connected, FastEthernet3/0202.202.202.0/30 is subnetted, 1 subnetsC 202.202.202.0 is directly connected, FastEthernet2/0192.168.1.0/30 is subnetted, 1 subnetsC 192.168.1.0 is directly connected, FastEthernet1/0S* 0.0.0.0/0 [1/0] via 202.202.202.1S 192.168.0.0/16 [1/0] via 192.168.1.2这里有一条200.200.200.0的直连路由要优于缺省路由吧,所以它的出接口变成了F3/0,NAT 也转换成了200.200.200.2了!解决方法:配置ip route 200.200.200.1 255.255.255.255 202.202.202.1的主机路由C 200.200.200.0/30 is directly connected, FastEthernet3/0S 200.200.200.1/32 [1/0] via 202.202.202.1202.202.202.0/30 is subnetted, 1 subnetsC 202.202.202.0 is directly connected, FastEthernet2/0192.168.1.0/30 is subnetted, 1 subnetsC 192.168.1.0 is directly connected, FastEthernet1/0S* 0.0.0.0/0 [1/0] via 202.202.202.1S 192.168.0.0/16 [1/0] via 192.168.1.2再来PING一下,看NA T表:VPCS 2 >ping 200.200.200.1200.200.200.1 icmp_seq=1 time=138.000 ms200.200.200.1 icmp_seq=2 time=72.000 ms200.200.200.1 icmp_seq=3 time=64.000 ms200.200.200.1 icmp_seq=4 time=58.000 ms200.200.200.1 icmp_seq=5 time=59.000 msRT1(config)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 202.202.202.2:10813 192.168.2.100:10813 200.200.200.1:10813 200.200.200.1:10813 icmp 202.202.202.2:11069 192.168.2.100:11069 200.200.200.1:11069 200.200.200.1:11069 icmp 202.202.202.2:11325 192.168.2.100:11325 200.200.200.1:11325 200.200.200.1:11325 icmp 202.202.202.2:11581 192.168.2.100:11581 200.200.200.1:11581 200.200.200.1:11581 icmp 202.202.202.2:11837 192.168.2.100:11837 200.200.200.1:11837 200.200.200.1:11837现在可以了吧,这是因为主机路由优于任何一条路由分析2:把200.200.200.1给DOWN了Edu-Internet(config)#int f3/0Edu-Internet(config-if)#shutEdu-Internet(config)#do show ip int brInterface IP-Address OK? Method Status Protocol FastEthernet1/0 222.222.222.2 YES NVRAM up up FastEthernet3/0 200.200.200.1 YES NVRAM administratively down down Loopback0 200.200.0.1 YES NVRAM up up VPCS 3 >ping 200.200.0.1200.200.0.1 icmp_seq=1 timeout200.200.0.1 icmp_seq=2 timeout200.200.0.1 icmp_seq=3 timeout200.200.0.1 icmp_seq=4 timeout200.200.0.1 icmp_seq=5 timeout超时这不失去主策略路由的意义了,不能上网了,怎么办*Mar 1 00:59:29.363: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.0.1, len 84, policy match*Mar 1 00:59:29.367: IP: route map 3, item 10, permit*Mar 1 00:59:29.367: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.0.1 (FastEthernet3/0), len 84, policy routed*Mar 1 00:59:29.371: IP: FastEthernet1/0 to FastEthernet3/0 200.200.200.1*Mar 1 00:59:29.375: IP: s=200.200.200.2 (FastEthernet1/0), d=200.200.0.1 (FastEthernet3/0),g=200.200.200.1, len 84, forwardRT1(config)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 200.200.200.2:28478 192.168.3.100:28478 200.200.0.1:28478 200.200.0.1:28478icmp 200.200.200.2:28734 192.168.3.100:28734 200.200.0.1:28734 200.200.0.1:28734icmp 200.200.200.2:28990 192.168.3.100:28990 200.200.0.1:28990 200.200.0.1:28990icmp 200.200.200.2:29246 192.168.3.100:29246 200.200.0.1:29246 200.200.0.1:29246从上面可以看得出策略路由依然把192.168.3.0的网段转交给了F3/0,它不知道下一跳不可达解决方法:RT1(config)#route-map 3 permit 10RT1(config-route-map)#set ip next-hop verify-availability在原来的策略路由上再加一条SET语句,就是用来验证下一跳是否有效,失效时,策略路由将被拒绝!很有用的!VPCS 3 >ping 200.200.0.1200.200.0.1 icmp_seq=1 timeout200.200.0.1 icmp_seq=2 time=85.000 ms200.200.0.1 icmp_seq=3 time=53.000 ms200.200.0.1 icmp_seq=4 time=52.000 ms200.200.0.1 icmp_seq=5 time=65.000 ms*Mar 1 01:02:22.599: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.0.1, len 84, policy match*Mar 1 01:02:22.603: IP: route map 3, item 10, permit*Mar 1 01:02:22.603: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.0.1 (FastEthernet2/0), len 84, policy rejected -- normal forwarding*Mar 1 01:02:22.611: IP: s=202.202.202.2 (FastEthernet1/0), d=200.200.0.1 (FastEthernet2/0),g=202.202.202.1, len 84, forwardRT1(config-route-map)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 202.202.202.2:7231 192.168.3.100:7231 200.200.0.1:7231 200.200.0.1:7231icmp 202.202.202.2:7487 192.168.3.100:7487 200.200.0.1:7487 200.200.0.1:7487icmp 202.202.202.2:7743 192.168.3.100:7743 200.200.0.1:7743 200.200.0.1:7743icmp 202.202.202.2:7999 192.168.3.100:7999 200.200.0.1:7999 200.200.0.1:7999icmp 202.202.202.2:8255 192.168.3.100:8255 200.200.0.1:8255 200.200.0.1:8255现在策略路由被拒绝了吧,把它从F2/0转发出去了,这样就真正意义上主备了,至此大功告成啊!欢迎光临我的博客:凡人世界。