双出口路由配置实例
H3Csecpath100f 双出口配置案例
network 192.168.8.0 mask 255.255.252.0
description TO_LINK_3928P(E1/0/3)
ip address 192.168.100.2 255.255.255.252
#
local-user xxx
firewall defend ping-of-death
firewall defend tcp-flag
firewall defend arp-reverse-query
firewall defend syn-flood enable
#
interface Ethernet0/0
#
domain system
dhcp server ip-pool 2
network 192.168.0.0 mask 255.255.252.0
level 3
#
#
dvpn service enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
#
nat address-group 0 61.x.x.x 61.x.x.x (电信地址)
#
radius scheme system
secpath100f 双出口配置案例
此为一学校的配置,双出口,一个为教育网,一个为电信,由于上级单位给的教育网地址较少(仅有二个),所以在此全部做了NAT出去。具体配置 如下:
dis cu
firewall defend teardrop
H3C 双网出口资料配置 【经典案例吐血推荐】
双出口映射单网卡服务器解决方案一、解决方案应用场景:出口路由器接两家运营商线路,均使用固定公网地址上外网,内网有一台单网卡的FTP 服务器,现要将其分别映射至两个公网出口,实现外网用户通过公网地址能正常访问FTP 服务器。
二、网络拓扑图:三、解决方案思路:1. 内网用户上公网通过在两个公网口分别做nat outbound,电信出接口配置一条默认路由,网通出接口配置一条优先级低于电信出接口的默认路由并添加目的地址为网通网段的精细路由;2. 若双出口上映射同一个FTP 服务器的私网地址,则可能出现端口被占用的情况,为解决这个问题,给服务器配置两个私网地址,分别用做两个外网口上做nat server 的内部地址:其中电信出口映射的内部地址为192.168.1.253,网通出口映射的内部地址为192.168.1.254;3. 做完以上两个步骤后,电信地址访问电信出口没有问题,网通地址访问网通出口也没有问题,但是网通地址访问电信出口就会出现数据包来回路径不一致的现象:网通地址访问电信接口时,首先电信出接口通过nat server 定向至192.168.1.253,服务器回包时一看源地址为网通地址,就匹配精细路由出去了。
同样的电信地址访问网通出接口也可能出现数据包来回不一致的情况;4. 为解决第3 步出现的问题,通过定义匹配源的策略路由来解决:源为192.168.1.253 目的UnRegistered地址任意的访问下一跳指向电信出口网关,源为192.168.1.254 目的地址任意的访问下一跳指向网通出口网关。
此时网通地址访问电信出接口时,首先电信出接口通过nat server 定向至192.168.1.253,服务器回包时匹配源为192.168.1.253 的策略路由,仍然走电信出接口出去,这样就实现了数据包的来回一致,电信地址访问网通出接口也是一样。
五、测试配置文件出口路由器:MSR30-11#acl number 2000rule 0 permit#acl number 3000 //定义源为192.168.1.253 的ACLrule 0 permit ip source 192.168.1.253 0acl number 3001 //定义源为192.168.1.254 的ACLrule 0 permit ip source 192.168.1.254 0#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!authorization-attribute level 3service-type telnet#cwmpundo cwmp enable#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0 //此接口为出口路由器的内网口port link-mode routeip address 192.168.1.1 255.255.255.0undo ipv6 fast-forwardingip policy-based-route policy //将匹配源地址为服务器私网地址的策略路由下发至内网口#interface Ethernet0/1UnRegisteredport link-mode routeundo ipv6 fast-forwarding#interface Ethernet3/0 //此接口为电信出接口port link-mode routedescription to-dianxinnat outbound 2000nat server protocol tcp global 10.10.10.1 ftp inside 192.168.1.253 ftp //映射192.168.1.253ip address 10.10.10.1 255.255.255.252undo ipv6 fast-forwarding#interface Ethernet3/1 //此接口为网通出接口port link-mode routedescription to-wangtongnat outbound 2000nat server protocol tcp global 20.20.20.1 ftp inside 192.168.1.254 ftp //映射192.168.1.254ip address 20.20.20.1 255.255.255.252undo ipv6 fast-forwarding#interface Serial0/0link-protocol pppundo ipv6 fast-forwarding#interface NULL0#policy-based-route policy permit node 0 //匹配ACL3000 的走电信出接口if-match acl 3000apply ip-address next-hop 10.10.10.2policy-based-route policy permit node 5 //匹配ACL3001 的走网通出接口if-match acl 3001apply ip-address next-hop 20.20.20.2#ip route-static 0.0.0.0 0.0.0.0 10.10.10.2ip route-static 0.0.0.0 0.0.0.0 20.20.20.2 preference 80ip route-static 3.3.3.0 255.255.255.0 20.20.20.2 //实际配置时需添加网通网段的细化路由#电信设备:100F网通设备:100F电信和网通之间的互联网段为:3.3.3.0/24,电信:3.3.3.253 网通:3.3.3.254 UnRegistered。
双出口链路nat配置案例(outbound)1
双出口链路nat配置案例(outbound)1防火墙双链路出口nat策略路由配置案例一、用户组网二、需求场景需求一:●10.0.0.0及30.10.0.0网段内网用户的走G0/0/0口,通过External networt a访问公网,nat转化为地址1.0.0.1 ;20.0.0.0及30.20.0.0的内网用户走G0/0/1口,通过External network b访问公网,nat转化为地址2.0.0.1。
●防火墙出口到External networt a或External network b任意链路故障后,所有内网用户转化为同一出口地址访问公网。
●G5/0/0启子接口,下行30.10.0.0和30.20.0.0网段,网关配置在防火墙上。
需求二:●访问公网地址,如果访问的External networt a地址走External networt a访问公网;如果访问的为External networt b地址走External networt b访问公网需求三:●内网用户均可通过External networt a或External networt b访问公网需求四:●所有网络均走External networt a访问公网,当G/0/0链路down时,内网用户通过External networt b访问公网。
三、适用产品版本●设备型号:usg●软件版本:V100R002C01SPC100四、配置步骤需求一配置步骤:1、进入系统视图< USG >sys2、配置外网接口地址#配置External network a出口地址[USG ]interface GigabitEthernet 0/0/0[USG -GigabitEthernet0/0/0]ip address 1.0.0.1 255.255.255.0 #配置External network a出口地址[USG ]interface GigabitEthernet 0/0/1[USG -GigabitEthernet0/0/1]ip address 2.0.0.1 255.255.255.03、创建vlan,并将接口加入vlan(如果加入接口为三层口,也可在接口下配置地址)#创建vlan 2和vlan 3,并加入相应接口。
双出口策略路由加nat配置
interface FastEthernet0/0
ip address 202.1.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 211.64.19.2 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 172.16.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map ruijie
duplex auto
speed auto
!
!
!
ip http server
no ip http secure-server
ip nat inside source route-map isp1 interface FastEthernet0/1 overload--符合route-map isp1的走0/1接口进行地址转换
no ip address
shutdown
duplex auto
speed auto
!
ip route0.0.0.0 0.0.0.0 172.16.1.1
实验实现出口双线,电信流量走电信,网通流量走网通,并且双线互相备份。。
电信分配给我的ip 211.64.19.2网通分配给我的ip 202.1.1.2
电信网通双出口负载均衡配置实例
电信网通双出口负载均衡配置实例新鲜出炉!电信网通双出口负载均衡配置实例!!尤其适用网吧!!负载分担配置指导定义监测组,分别监测电信和网通网关:进入系统视图,创建detect-group 1,监测电信网关:systemSystem View: return to User View with Ctrl+Z.[Quidway] detect-group 1[Quidway-detect-group-1][Quidway-detect-group-1]detect-list 1 ip address 60.190.80.113[Quidway-detect-group-1]quit创建detect-group 1,监测网通网关:[Quidway]detect-group 2[Quidway-detect-group-2]detect-list 1 ip address 221.12.79.49[Quidway-detect-group-2]quit[Quidway]注:以上以地址60.190.80.113最为电信网关地址,地址221.12.79.49为网通网关地址为例,可以根据实际组网情况修改。
2.2 配置两条默认路由互为备份,优先走电信线路:[Quidway]ip route-static 0.0.0.0 0.0.0.0 60.190.80.113 preference 60 detect-group 1[Quidway]ip route-static 0.0.0.0 0.0.0.0 221.12.79.49 preference 100 detect-group 2注:以上以地址60.190.80.113最为电信网关地址,地址221.12.79.49为网通网关地址为例,可以根据实际组网情况修改。
2.3 配置静态路由与监测组关联,使访问网通流量优先走网通线路:以下配置较多,配置过程中可以用实际网通网关地址替换地址221.12.79.49后直接复制粘贴:ip route-static 58.16.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 58.100.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 58.240.0.0 255.240.0.0 221.12.79.49 preference 60 detect-group2ip route-static 60.0.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 60.8.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 60.12.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 60.13.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group2ip route-static 60.13.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group2ip route-static 60.16.0.0 255.240.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 60.24.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 60.31.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 60.208.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group22ip route-static 60.220.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.48.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.52.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.54.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.55.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.133.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.134.64.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.134.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.135.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.136.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.138.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.139.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.148.0.0 255.255.0.0 221.12.79.49preference 60 detect-group2ip route-static 61.149.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.156.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.158.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.159.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.161.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.161.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.162.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.163.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.167.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.168.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group22ip route-static 61.179.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.180.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 61.181.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.182.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 61.189.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group2ip route-static 124.90.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 124.162.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 192.168.2.246 255.255.255.255 192.168.2.254 preference 60ip route-static 202.32.0.0 255.224.0.0 221.12.79.49 preference 60 detect-group2ip route-static 202.96.64.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2ip route-static 202.97.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 202.98.0.0 255.255.224.0 221.12.79.49preference 60 detect-group2ip route-static 202.99.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 202.102.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 202.102.224.0 255.255.254.0 221.12.79.49 preference 60 detect-group 2ip route-static 202.106.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 202.107.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 202.108.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 202.110.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 202.110.192.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 202.111.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 203.79.0.0 255.255.0.0 221.12.79.49 preference 60 detect-groupip route-static 203.80.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 203.81.0.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2ip route-static 203.86.32.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2ip route-static 203.86.64.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2ip route-static 203.90.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 203.90.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 203.90.192.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2ip route-static 203.92.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 210.12.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.12.192.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.13.0.0 255.255.255.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.14.160.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.14.192.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.15.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.15.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.16.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.21.0.0 255.255.0.0 221.12.79.49preference 60 detect-group2ip route-static 210.22.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 210.51.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 210.52.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 210.52.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.53.0.0 255.255.0.0 221.12.79.49 preference 60 detect-groupip route-static 210.74.64.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.74.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 210.78.0.0 255.255.224.0 221.12.79.49 preference 60 detect-group2ip route-static 210.82.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 211.100.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 211.101.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2preference 60 detect-group2ip route-static 211.167.96.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2ip route-static 218.4.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 218.10.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 218.21.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 218.24.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 218.26.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 218.27.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 218.28.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 218.56.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group2ip route-static 218.60.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2preference 60 detect-group2ip route-static 218.67.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 218.68.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 218.109.159.0 255.255.255.0 221.12.79.49 preference 60 detect-group 2ip route-static 219.141.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 22ip route-static 219.154.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 219.156.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 219.158.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 219.159.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 220.248.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group2ip route-static 220.252.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group260 detect-group 2ip route-static 221.4.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 221.6.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 221.7.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2ip route-static 221.8.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2ip route-static 221.10.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 221.11.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group2ip route-static 221.12.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group2ip route-static 221.12.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group2ip route-static 221.12.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 221.192.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group2ip route-static 221.195.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2preference 60 detect-group2ip route-static 221.199.0.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2ip route-static 221.199.32.0 255.255.240.0 221.12.79.49 preference 60 detect-group 2ip route-static 221.199.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2ip route-static 221.199.192.0 255.255.240.0 221.12.79.49 preference 60 detect-group 22ip route-static 221.204.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2ip route-static 221.207.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group2ip route-static 221.208.0.0 255.240.0.0 221.12.79.49 preference 60 detect-group2ip route-static 221.208.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group2ip route-static 221.213.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group2ip route-static 221.214.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group2preference 60 detect-group2ip route-static 222.132.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group2ip route-static 222.136.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group2ip route-static 222.160.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group2ip route-static 222.163.0.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2ip route-static 0.0.0.0 0.0.0.0 20.1.1.2 preference 60注:以上路由已经包含大部分网通地址段,如有更新可以动态添加。
H3C之AR18路由器设置实例 --双出口链路备份规范设置
H3C之AR18路由器设置实例 --双出口链路备份规范设置 - 华三-悠悠思科华为网络技术门户双出口链路规范设置双出口举办主备备份在一般呈此刻到一个ISP有两条链路,一条带宽较量宽,一条带宽较量低的情形下。
下面就两种常见的组网给出设置实例。
# 设置自动侦测组1,侦测主用链路的对端地点是否可达,侦测隔断为5s。
detect-group 1detect-list 1 ip address 142.1.1.1timer loop 5## 设置接口应用NAT时引用的ACL。
acl number 2001rule 10 permit source 192.168.1.0 0.0.0.255## 设置在接口上应用的过滤法则,主要用于进攻防御,猛烈发起设置。
acl number 3001rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-nsrule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgmrule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2002 permit ip destination 142.1.1.2 0rule 3000 deny ipacl number 3002rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2002 permit ip destination 162.1.1.2 0rule 3000 deny ipacl number 3003rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2010 deny ip source 192.168.1.1 0rule 2030 permit ip source 192.168.1.0 0.0.0.255rule 3000 deny ip## 设置广域网接口E1/0,对入报文举办过滤(所有出报文均需要做NAT时可以差池入报文举办过滤),对出报文举办NAT。
双出口路由配置实例
.
!
end
R2
R2# show running-config
Building configuration...
.!Βιβλιοθήκη !interface Ethernet0/0
ip address 200.200.200.2 255.255.255.0
ip policy route-map blah
!
interface Serial1/0
!
route-map blah permit 10
match ip address 100
set ip default next-hop 10.10.10.1
!
end
log-adjacency-changes
network 20.20.20.0 0.0.0.255 area 0
network 200.200.200.0 0.0.0.255 area 0
!
ip classless
no ip http server
!
access-list 100 permit ip host 200.200.200.4 host 100.100.100.3
双出口路由配置实例
ZDNet网络频道频道更新时间:2008-05-08作者:中国IT实验室来源:中国IT实验室
本文关键词:如何设置路由器路由器安装路由器设置路由器
双出口路由配置实例
拓扑:
R1
R1# show running-config
Building configuration...
.
!
interface Ethernet0/0
双出口路由配置实例 双出口路由配置实例拓扑: r1 r1# show running-config building configuration... interfaceethernet0/0 ip address 100.100.100.1 255.255.255.0 ip policy route-map blah interfaceserial1/0 ip address 10.10.10.1 255.255.255.0 interfaceserial2/0 ip address 20.20.20.1 255.255.255.0 routerospf serial1/0.log-adjacency-changes network 20.20.20.0 0.0.0.255 area network100.100.100.0 0.0.0.255 area ipclassless iphttp server access-list100 permit ip host 100.100.100.3 host 200.200.200.4 route-mapblah permit 10 match ip address 100 set ip default next-hop 10.10.10.2 endr2 r2# show running-config building configuration... interfaceethernet0/0 ip address 200.200.200.2 255.255.255.0 ip policy route-map blah interfaceserial1/0 ip address 10.10.10.2 255.255.255.0 fair-queue interfaceserial2/0 ip address 20.20.20.2 255.255.255.0 routerospf serial1/0.log-adjacency-changes network 20.20.20.0 0.0.0.255 area network200.200.200.0 0.0.0.255 area ipclassless iphttp server access-list100 permit ip host 200.200.200.4 host 100.100.100.3 route-m
双WAN口宽带路由器静态路由设置
一、静态路由设置下面就以几个典型应用为例,来说明一下什么情况需要设置静态路由,静态路由条目的组成,以及静态路由的具体作用。
例一:最简单的串连式双路由器型环境这种情况多出现于中小企业在原有的路由器共享Internet的网络中,由于扩展的需要,再接入一台路由器以便连接另一个新加入的网段。
而家庭中也很可能出现这种情况,如用一台宽带路由器共享宽带后,又加入了一台无线路由器满足无线客户端的接入。
图1(注:图中省略了可能存在的交换层设备)如图1所示,LAN 1为192.168.0.0这个标准C类网段,路由器R1为原有路由器,它的WAN口接入宽带,LAN口(IP为192.168.0.1)挂着192.168.0.0网段(子网掩码255.255.255.0的C类网)主机和路由器R2(新添加)的WAN口(IP为192.168.0.100)。
R2的LAN口(IP为192.168.1.1)下挂着新加入的LAN 2这个192.168.1.0的C类不同网段的主机。
如果按照共享Internet的方式简单设置,此时应将192.168.0.0的主机网关都指向R1的LAN口(192.168.0.1),192.168.1.0网段的主机网关指向R2的LAN口(192.168.1.1),那么只要R2的WAN 口网关指向192.168.0.1,192.168.1.0的主机就都能访问192.168.0.0网段的主机并能通过宽带连接上网。
这是因为前面所说的宽带路由器中一条默认路由在起作用,它将所有非本网段的目的IP包都发到WAN口的网关(即路由器R1),再由R1来决定信息包应该转发到它自己连的内网还是发到外网去。
但是192.168.0.0网段的主机网关肯定要指向192.168.0.1,而R1这时并不知道192.168.1.0这个LAN 2的正确位置,那么此时只能上网以及本网段内的互访,不能访问到192.168.1.0网段的主机。
这时就需要在R1上指定一条静态路由,使目的IP为192.168.1.0网段的信息包能转发到路由器R2去。
经典案例:H3C校园网双出口配置
经典案例:H3C校园网双出口配置一、案例分析本案例以某高校的校园网出口为例,来展示NAT及策略路由等主流技术的应用场景。
案例中共有4台设备,包括3台路由器和1台交换机,分别是电信公网路由器、教育网路由器,模拟校园网出口路由器和校园网接入交换机。
本案例出口路由器使用H3C-MSR3011E来实现相关功能,电信和教育网使用H3C-MSR2020来实现相关功能,使用s3600三层交换机来模拟校园网接入交换机。
在实际组网中出口路由器一般采用SR66系列或更高的SR88路由器。
案例中的校园网分两个网段,分别为校园网宿舍用网及校园办公、教学用网段,前者主要通过电信访问公网,后者主要通过教育网访问教育网资源。
案例在校园网出口处用策略路由来控制校园内不同网段走相应的网络,校园内网模拟了一台服务器,对公网提供www访问服务二、案例前置知识点1、H3C公司简介H3C的前身华为3COM公司,是华为与美国3COM公司的合资公司。
2006年11月,华为将在华为3COM中的49%股权以8.8亿美元出售给3COM公司。
2007年4月,公司正式更名为“杭州华三通信技术有限公司”,简称“H3C”。
当前数据通信市场主要分为电信运营商和企业网市场,华为一直专注于运营商市场,而H3C主要专注于企业网市场。
CISCO的业务则跨运营商和企业网市场,并在这两个市场上保持一定的领先地位。
在运营商市场上华为是cisco的主要对手,而在企业网市场H3C是cisco 的主要对手。
Cisco在能源、金融、国际企业、电力等行业有优势,而H3C在政府、烟草、交通、中小企业及相关的政府采购有优势。
在中国路由器与交换机领域,H3C的市场份额已位居第一。
2、H3C产品体系经过多年的发展,H3C网络产品线已经具有业界最全的网络产品,包括全系列路由器、交换机、WLAN、ICG信息通信网关和业务软件产品。
同时H3C始终探索客户需求,为用户提供新一代统一交换架构数据中心解决方案、ipv6解决方案、虚拟园区网解决方案、园区有线无线一体化解决方案、统一智能管理解决方案、EAD解决方案、3G路由接入解决方案、光电双向改造解决方案、可运营可管理无限宽带解决方案等一些列解决方案。
精选双出口策略路由加nat配置(2)资料(可编辑修改word版)
实验实现出口双线,电信流量走电信,网通流量走网通,并且双线互相备份。
电信分配给我的ip 211.64.19.2 网通分配给我的ip 202.1.1.2R2 为电信PE R3 为网通PE R4 模拟内网PCR2 与R3 直接用静态或动态路由自己选,确保R2 与R3 直接LO 网段能互访就行,用来测试(比如去电信的线路段了,走网通依然能访问电信lo 段)R1 配置文件(出口网关设备)interface FastEthernet0/0ip address 202.1.1.2 255.255.255.0ip nat outsideip virtual-reassemblyduplex autospeed auto!interface FastEthernet0/1ip address 211.64.19.2 255.255.255.0ip nat outsideip virtual-reassemblyduplex autospeed auto!interface FastEthernet1/0ip address 172.16.1.1 255.255.255.0ip nat insideip virtual-reassemblyip policy route-map ruijieduplex autospeed auto!!!ip http serverno ip http secure-serverip nat inside source route-map isp1 interface FastEthernet0/1 overload --符合route-map isp1的走0/1 接口进行地址转换ip nat inside source route-map isp2 interface FastEthernet0/0 overload --符合route-map isp2的走0/0 接口进行地址转换!access-list 101 permit ip any 202.100.99.0 0.0.0.255 ---------------------- 被route-map ruijie 引用匹配去电信lo 段的目的地址access-list 102 deny ip any 202.100.99.0 0.0.0.255 ----------被route-map ruijie 引用匹配去往网通及其他lo 段的目的地址access-list 102 permit ip any any!!route-map ruijie permit 10match ip address 101 ----------------------------------------- 去电信的流量set ip default next-hop 211.64.19.1 202.1.1.1 优先走电信的线路,如果电信线路down走网通线路route-map ruijie permit 20match ip address 102 ----------------------------------------- 去网通的流量set ip default next-hop 202.1.1.1 211.64.19.1 优先走网通线路,网通线路down 走电信线路!route-map isp2 permit 10match interface FastEthernet0/0 -------route-map isp1 isp2 用来匹配route-map 选路以后出接口的情况,在被nat 引用来选择地址转换!route-map isp1 permit 10match interface FastEthernet0/1R2 配置文件(模拟电信)interface Loopback0ip address 202.100.99.1 255.255.255.255!interface FastEthernet0/0ip address 111.1.1.1 255.255.255.0duplex autospeed auto!interface FastEthernet0/1ip address 211.64.19.1 255.255.255.0duplex autospeed auto!interface FastEthernet1/0no ip addressshutdownduplex autospeed auto!ip route 59.64.248.0 255.255.255.0 111.1.1.2R3 配置文件(模拟网通)!interface Loopback0ip address 59.64.248.1 255.255.255.0interface FastEthernet0/0ip address 111.1.1.2 255.255.255.0duplex autospeed auto!interface FastEthernet0/1ip address 202.1.1.1 255.255.255.0duplex autospeed auto!ip route 202.100.99.0 255.255.255.0 111.1.1.1R4 配置文件interface FastEthernet0/0ip address 172.16.1.2 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 172.16.1.1。
Cisco ASA5510 双出口策略路由配置
Asa/PIX的Static Route Tracking命令可以有效解决双ISP出口的问题存在问题:静态路由没有固定的机制来决定是否可用,即使下一跳不可达,静态路由还是会存在路由表里,是有当ASA自己的和这条路由相关接口down了,才会从路由表里删除解决办法:Static Route Tracking这个feature提供一种方法来追踪静态路由,当主路由失效时可以安装备份路由进路由表,例如:2条缺省指向不同ISP,当主的ISP 断了,可以立即启用备用ISP 链路,它是使用ICMP来进行追踪的,如果在一定holdtime没有收到reply的话就认为这条链路down了,就会立即删除该静态路由,预先设置的备份路由就会进入路由表。
注意:配置时要在outside口上放开icmp reply(如果打开了icmp限制)pixFirewall(config)#sla monitor sla_id #指定检测的slaIDPixfirewall(config-sla-monitor)# type echo protocol ipIcmpEcho target_ip interfaceif_name #指定检测的协议类型为ICMP协议,并指定检测目的地址和接口这个必须是个可以ping通的地址,当这个地址不可用时,track跟踪的路由就会被删除,备份路由进路由表pixFirewall(config)#sla monitor schedule sla_id [life {forever | seconds}][start-time {hh:mm [:ss][month day | day month]| pending | now | after hh:mm:ss}][ageout seconds][recurring]#指定一个Schedule,一般会是start now必须要写时间表,不然track的路由进不了路由表pixFirewall(config)# track track_id rtr sla_id reachability #指定一个TrackID,并要求追踪SlaID 的可达性pixFirewall(config)# route if_name dest_ip mask gateway_ip [admin_distance]track track_i #设定默认路由,并绑定一个TrackID配置实例:sla monitor 1type echo protocol ipIcmpEcho 202.1.1.2 interface dxsla monitor schedule 1 start-time now(必须配置,不然track的路由进不了路由表)track 2 rtr 1 reachabilityroute dx 0.0.0.0 0.0.0.0 202.1.1.2 1 track 2 (电信默认网关,会追踪地址的可达性)route wt 0.0.0.0 0.0.0.0 101.1.1.2 2 (网通默认网关)当配置的202.1.1.2 ping不通(ICMP协议不能Reachability)的时候,route dx 0.0.0.0 0.0.0.0 202.1.1.2 1就会在路由表里删除,并由第二条默认路由即route wt 0.0.0.0 0.0.0.0 101.1.1.2 2取代,当202.1.1.2恢复后,又会重新变为dx 0.0.0.0 0.0.0.0 202.1.1.2 1这个feature我想大家在很多项目里都会遇到,ASA可以有效解决!这与我们用路由器实现双出口备份是一样的,通过配置SAA,检查其连通性。
双ISP线路出口路由器案例
主要思想是IP-SLA结合EEM来做到无人值守的管控给出R4的关键配置这个题目没什么意义现实中也不会出现·· ISP一般2家不会选同一家,所以流量不会负载均衡···如果是2家可以结合route-map或者静态路由来做才符合环境1 ISP1中出现故障就删除去往ISP1的默认路由同时挂载ACL 过滤192.168.2.0的流量ISP1中故障恢复后放行192.168.2.0的流量恢复默认路由2 ISP2中出现故障就删除去往ISP2的默认路由同时挂载ACL 过滤192.168.2.0的流量ISP2中故障恢复后放行192.168.2.0的流量恢复默认路由全过程无人值守,切换不需要人为干预R4:track 1 ip sla 1 reachability!track 2 ip sla 2 reachability!!!!!!!!!interface FastEthernet0/0ip address 14.1.1.4 255.255.255.0ip nat insidespeed autoduplex auto!interface FastEthernet0/1ip address 34.1.1.4 255.255.255.0ip nat outsidespeed autoduplex auto!interface FastEthernet1/0ip address 24.1.1.4 255.255.255.0ip nat outsidespeed autoduplex auto!interface FastEthernet1/1no ip addressshutdownspeed autoduplex auto!ip nat inside source route-map NAT1 interface FastEthernet0/1 overload ip nat inside source route-map NAT2 interface FastEthernet1/0 overload ip forward-protocol nd!!no ip http serverno ip http secure-serverip route 0.0.0.0 0.0.0.0 34.1.1.3 track 1ip route 0.0.0.0 0.0.0.0 24.1.1.2 track 2ip route 2.2.2.0 255.255.255.0 24.1.1.2ip route 3.3.3.0 255.255.255.0 34.1.1.3ip route 192.168.1.0 255.255.255.0 14.1.1.1ip route 192.168.2.0 255.255.255.0 14.1.1.1!ip sla 1icmp-echo 3.3.3.3 source-interface FastEthernet0/1 threshold 500timeout 999frequency 1ip sla schedule 1 life forever start-time nowip sla 2icmp-echo 2.2.2.2 source-interface FastEthernet1/0 threshold 500timeout 999frequency 1ip sla schedule 2 life forever start-time now access-list 1 permit 192.168.1.0 0.0.0.255access-list 1 permit 192.168.2.0 0.0.0.255!route-map NAT2 permit 10match ip address 1match interface FastEthernet1/0!route-map NAT1 permit 10match ip address 1match interface FastEthernet0/1!!!control-plane!!line con 0exec-timeout 0 0privilege level 15logging synchronousstopbits 1line aux 0exec-timeout 0 0privilege level 15logging synchronousstopbits 1line vty 0 4login!event manager applet TRACK_2_UPevent track 2 state upaction 1.0 cli command "enable"action 2.0 cli command "conf te"action 3.0 cli command "no access-list 100"action 4.0 cli command "interface fa 0/0"action 5.0 cli command "no ip access-group 100 in "action 6.0 cli command "end"event manager applet TRACK_2_DOWNevent track 2 state downaction 1.0 cli command "enable"action 2.0 cli command "conf te"action 3.0 cli command "access-list 100 deny ip 192.168.2.0 0.0.0.255 any " action 3.1 cli command " access-list 100 permit ip any any "action 4.0 cli command " interface fa 0/0 "action 5.0 cli command " ip access-group 100 in "action 6.0 cli command "end"event manager applet TRACK1_1_DOWNevent track 1 state downaction 1.0 cli command "enable"action 2.0 cli command "conf te"action 3.0 cli command "access-list 100 deny ip 192.168.2.0 0.0.0.255 any " action 3.1 cli command " access-list 100 permit ip any any "action 4.0 cli command " interface fa 0/0 "action 5.0 cli command " ip access-group 100 in "action 6.0 cli command "end"event manager applet TRACK_1_UPevent track 1 state upaction 1.0 cli command "enable"action 2.0 cli command "conf te"action 3.0 cli command "no access-list 100"action 4.0 cli command "interface fa 0/0"action 5.0 cli command "no ip access-group 100 in "action 6.0 cli command "end"1111.png(17.24 KB)2015-1-21 00:35在R1左侧的内网接口配置策略路由,当数据包源地址属于192.168.1.0/24时,优先走ISP1,如果ISP1失效走ISP2;当数据包源地址属于192.168.2.0/24时,根据ISP1和ISP2的连通性结果选择路由:当两条ISP线路都正常时走ISP2,这样就躲开了192.168.1.0/24所走的路径(因为它优先走ISP1),实现了流量的负载平衡。
策略路由双出口配置实例
策略路由:双出口配置实例(一)实验拓朴:(二)实验要求:1、R1连接本地子网,R2为边缘策略路由器,R3模拟双ISP接入的Internet环境。
2、要求R1所连接的局域网部分流量走R2-R3间上条链路(ISP1链路),部分流量走R2-R3间下条链路(ISP2链路)从而实现基于源的供应商链路选择和网络负载均衡。
(三)各路由器配置如下:R1#sh run //路由器R1的配置interface Loopback0 //模拟子网一:192.168.1.0/24ip address 192.168.1.1 255.255.255.0 //模拟子网中第一台主机ip address 192.168.1.2 255.255.255.0 secondary //模拟子网中第二台主机!interface Loopback2 //模拟子网二:192.168.2.0/24ip address 192.168.2.1 255.255.255.0ip address 192.168.2.2 255.255.255.0 secondary!interface FastEthernet0/0ip address 12.0.0.1 255.255.255.0!!router rip //通过RIP协议配置网络的连通性version 2network 192.168.1.0network 192.168.1.0network 12.0.0.0R3#sh run //路由器R3的配置Building configurationinterface Loopback0 //模拟一个连接目标description to internetip address 100.100.100.100 255.255.255.0!interface Serial1/1 //模拟ISP1的接入端口ip address 123.0.0.3 255.255.255.0serial restart-delay 0!interface Serial1/3 //模拟ISP2的接入端口ip address 223.0.0.3 255.255.255.0serial restart-delay 0!router ripversion 2network 100.0.0.0network 123.0.0.0network 223.0.0.0no auto-summary!endR2#sh run //策略路由器R2的配置Building configuration...interface FastEthernet0/0ip address 12.0.0.2 255.255.255.0ip policy route-map isp-test //在接口上启用策略路由isp-test进行流量控制duplex half!interface Serial1/1ip address 123.0.0.1 255.255.255.0serial restart-delay 0! bitscn_cominterface Serial1/3ip address 223.0.0.1 255.255.255.0 serial restart-delay 0router ripversion 2network 12.0.0.0network 123.0.0.0network 223.0.0.0no auto-summarylogging alarm informationalaccess-list 101 permit ip 192.168.1.0 0.0.0.255 host 100.100.100.100 //访问控制列表101,用于过滤原地址,允许子网192.168.1.0流量通过*/access-list 102 permit ip 192.168.2.0 0.0.0.255 host 100.100.100.100 //访问控制列表102,用于过滤原地址,允许子网192.168.2.0流量通过*/!route-map isp-test permit 10 //定义route-map,取名为isp-test,序列为10match ip address 101 //检查源地址,匹配acl 101set ip default next-hop 123.0.0.3 //指定下一跳地址!route-map isp-test permit 20 //定义isp-test的第二条语句,序列号为20 match ip address 102 //检查源地下,匹配acl102set ip default next-hop 223.0.0.3!route-map isp-test permit 30 //定义isp-test的第三条语句,序列号为30 set default interface Null0 //丢弃不匹配规定标准的包end(四)调试R2#sh ip policy //显示应用的策略Interface Route mapFa0/0 isp-accR2#sh route-map isp-test //显示配置的路由映射图route-map isp-test, permit, sequence 10Match clauses:ip address (access-lists): 101Set clauses:ip default next-hop 123.0.0.3Policy routing matches: 0 packets, 0 bytesroute-map isp-test, permit, sequence 20Match clauses:ip address (access-lists): 102Set clauses:ip default next-hop 223.0.0.3Policy routing matches: 0 packets, 0 bytesroute-map isp-test, permit, sequence 30 Match clauses:Set clauses:default interface Null0Policy routing matches: 0 packets, 0 bytesR1#traceroute //路由跟踪Protocol [ip]: //ip流量Target IP address: 100.100.100.100 //目标地Source address: 192.168.1.1 //源地址为子网一的第一台主机Numeric display [n]:Timeout in seconds [3]:Probe count [3]:Minimum Time to Live [1]:Maximum Time to Live [30]:Port Number [33434]:Loose, Strict, Record, Timestamp, Verbose[none]:Type escape sequence to abort.Tracing the route to 100.100.100.1001 12.0.0.2 72 msec 216 msec 276 msec2 123.0.0.3 288 msec 360 msec * //ISP1入口R1# tracerouteProtocol [ip]:Target IP address: 100.100.100.100Source address: 192.168.1.2 //源地址为子网一的第二台主机Numeric display [n]:Timeout in seconds [3]:Probe count [3]:Minimum Time to Live [1]:Maximum Time to Live [30]:Port Number [33434]:Loose, Strict, Record, Timestamp, Verbose[none]:Type escape sequence to abort.Tracing the route to 100.100.100.1001 12.0.0.2 92 msec 188 msec 52 msec2 123.0.0.3 416 msec 436 msec * //ISP1入口----------------------------------------------------------------------------------R1#tracerouteProtocol [ip]:Target IP address: 100.100.100.100Source address: 192.168.2.1 //源地址为子网二的第一台主机Numeric display [n]:Timeout in seconds [3]:Probe count [3]:Minimum Time to Live [1]:Maximum Time to Live [30]:Port Number [33434]:Loose, Strict, Record, Timestamp, Verbose[none]:Type escape sequence to abort.Tracing the route to 100.100.100.1001 12.0.0.2 136 msec 40 msec 144 msec2 223.0.0.3 356 msec * 132 msec //ISP2入口---------------------------------------------------------R1#tracerouteProtocol [ip]:Target IP address: 100.100.100.100 Source address: 192.168.2.2 //源地址为子网二中第二台主机Numeric display [n]:Timeout in seconds [3]:Probe count [3]:Minimum Time to Live [1]:Maximum Time to Live [30]:Port Number [33434]:Loose, Strict, Record, Timestamp, Verbose[none]:Type escape sequence to abort.Tracing the route to 100.100.100.1001 12.0.0.2 28 msec 104 msec 200 msec2 223.0.0.3 300 msec * 196 msec //ISP2入口-----------------------------------------------------(五)小结:通过以上实验,可以看到子网一(192.168.1.0/24)的流量都经过R2-R3的上一条链路选择了ISP1链路,子网二(192.168.2.0/24)的流量都经过R2-R3的下一条链路选择了ISP2链路。
H3C双线出口配置
H3C双线出口配置H3C 双互联网接入负载分担及备份【解决方案及配置实例】#version 5.20, Alpha 1011#sysname H3C#bfd echo-source-ip 1.1.1.1#acl number 3000rule 0 permit ip source 192.168.1.0 0.0.0.255acl number 3001rule 0 permit ip source 192.168.2.0 0.0.0.2551. 双以太网链路接入1) MSR配置方法对于MSR网关,可以使用策略路由和自动侦测实现负载分担和链路备份功能。
同样以其中一条WAN 连接地址为142.1.1.2/24,网关为142.1.1.1,另外一条WAN连接地址为162.1.1.2/24,网关为162.1.1.1,使用MSR2010做为网关设备为例,配置方法如下::1、配置自动侦测组,对WAN连接状态进行侦测:[H3C]nqa agent enable[H3C]nqa entry wan1 1[H3C-nqa-wan1-1]type icmp-echo[H3C-nqa-wan1-1-icmp-echo]destination ip 142.1.1.1[H3C-nqa-wan1-1-icmp-echo]next-hop 142.1.1.1[H3C-nqa-wan1-1-icmp-echo]probe count 3[H3C-nqa-wan1-1-icmp-echo]probe timeout 1000[H3C-nqa-wan1-1-icmp-echo]frequency 10000[H3C-nqa-wan1-1-icmp-echo]reaction 1 checked-element probe-fail threshold-type co nsecutive 6 action-type trigger-only[H3C]nqa entry wan2 1[H3C-nqa-wan2-1]type icmp-echo[H3C-nqa-wan2-1-icmp-echo]destination ip 162.1.1.1[H3C-nqa-wan2-1-icmp-echo]next-hop 162.1.1.1[H3C-nqa-wan2-1-icmp-echo]frequency 10000[H3C-nqa-wan2-1-icmp-echo]probe count 3[H3C-nqa-wan2-1-icmp-echo]probe timeout 1000[H3C-nqa-wan2-1-icmp-echo]reaction 1 checked-element probe-fail threshold-type co nsecutive 6 action-type trigger-only[H3C-nqa-wan2-1-icmp-echo]quit[H3C]nqa schedule wan1 1 start-time now lifetime forever[H3C]nqa schedule wan2 1 start-time now lifetime forever[H3C]track 1 nqa entry wan1 1 reaction 1[H3C]track 2 nqa entry wan2 1 reaction 12、配置ACL,对业务流量进行划分,以根据内网主机单双号进行划分为例:[H3C]acl number 3200[H3C-acl-adv-3200] rule 0 permit ip source 192.168.1.0 0.0.0.254[H3C-acl-adv-3200]rule 1000 deny ip[H3C-acl-adv-3200]quit[H3C]acl number 3201[H3C-acl-adv-3201]rule 0 permit ip source 192.168.1.1 0.0.0.254[H3C-acl-adv-3201]rule 1000 deny ip3、配置策略路由,定义流量转发规则,以双号主机走WAN1,单号主机走WAN2为例:[H3C]policy-based-route wan permit node 1[H3C-pbr-wan-1]if-match acl 3200[H3C-pbr-wan-1]apply ip-address next-hop 142.1.1.1 track 1[H3C-pbr-wan-1]quit[H3C]policy-based-route wan permit node 2[H3C-pbr-wan-2]if-match acl 3201[H3C-pbr-wan-2]apply ip-address next-hop 162.1.1.1 track 24、在LAN口启用策略路由转发:[H3C]interface Vlan-interface 1[H3C-Vlan-interface1]ip policy-based-route wan5、配置默认路由,当任意WAN链路出现故障时,流量可以在另外一条链路上进行转发:[H3C]ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 track 1 preference 60[H3C]ip route-static 0.0.0.0 0.0.0.0 162.1.1.1 track 2 preference 1002) 基于用户负载分担配置方法MSR5006支持基于用户负载分担特性,可以根据接口带宽将流量动态进行负载分担。
H3C-路由器双出口NAT服务器的典型配置
H3C- 路由器双出口NAT服务器的典型配置在公司或者组织中,我们通常需要一个网络管理工具,这个工具可以管理和监控网络中的所有设备,保证网络的安全和稳定性。
其中,路由器双出口NAT服务器是一种非常常见的网络管理工具。
本文将介绍 H3C 路由器双出口 NAT 服务器的典型配置方法。
前置条件在进行配置之前,需要确保以下条件:•路由器需要复位为出厂设置状态。
•电脑需要连接到路由器的任意一口网卡上。
•管理员需要知道所需配置的类型和参数。
网络环境在这里,我们假设 LAN 网段为 192.168.1.0/24,WAN1 网卡 IP 地址为10.0.0.1/24,WAN2 网卡 IP 地址为 20.0.0.1/24。
配置步骤步骤1 分别配置两个 WAN 口•登录到 H3C 路由器上,使用管理员权限。
•分别进入 WAN1 和 WAN2 的配置页面,输入以下指令:interface GigabitEthernet 0/0/0undo portswitchip address 10.0.0.1 24nat server protocol tcp global current-interface 80 inside 192.168.1.10 80region member CNinterface GigabitEthernet 0/0/1undo portswitchip address 20.0.0.1 24nat server protocol tcp global current-interface 80 inside 192.168.1.10 80region member CN步骤2 配置路由策略•在路由器上进入配置模式,输入以下指令:ip route-static 0.0.0.0 0.0.0.0 10.0.0.254ip route-static 0.0.0.0 0.0.0.0 20.0.0.254 preference 10route-policy Wan1 permit node 10route-policy Wan2 deny node 20interface GigabitEthernet 0/0/0ip policy route-map Wan1interface GigabitEthernet 0/0/1ip policy route-map Wan2步骤3 配置防火墙•进入防火墙配置页面,输入以下指令:user-interface vty 0 4protocol inbound sshacl number 3000rule 0 permit source 192.168.1.0 0.0.0.255rule 5 permit source 10.0.0.0 0.0.0.255rule 10 permit source 20.0.0.0 0.0.0.255firewall packet-filter 3000 inbound步骤4 配置虚拟服务器•进入虚拟服务器配置页面,输入以下指令:ip name-server 192.168.1.1acl name WAN1rule 0 permit destination 10.0.0.0 0.255.255.255rule 5 denyacl name WAN2rule 0 permit destination 20.0.0.0 0.255.255.255rule 5 denyip netstream inboundip netstream export source 192.168.1.1 9991ip netstream timeout active-flow 30flow-export destination 192.168.1.2 9991flow-export enable结论以上是 H3C 路由器双出口 NAT 服务器的典型配置方法,这套配置可以满足大部分企业网络环境的需求。
ERERG2路由器双出口组网典型配置篇
ERERG2路由器双出口组网典型配置篇篇一、ER路由器的双WAN配置页面向导:接口设置→WAN设置→双WAN工作模式ER3200/ER3260/ER5200/ER6300/ER8300均支持双WAN配置,ER路由器的双WAN上网支持主备模式、均衡模式和手动模式三种。
场景1:主备模式某企业申请了两条运营商线路,一条为电信100M,接ER路由器WAN1口;一条为联通10M,接ER路由器WAN2口。
正常情况下,企业通过电信线路上网,联通线路作为备份链路,当电信线路出现故障时,将切换到联通线路进行上网。
配置步骤:页面向导:接口设置→WAN设置→双WAN工作模式1、双WAN工作模式选择主备模式,选择主链路为电信链路WAN1。
2、线路检测支持PING、DNS和NTP三种检测方式,这里WAN1和WAN2分别启用PING检测,启用WAN口线路检测后,如果您没有指定检测方式,路由器将使用缺省的检测方式(PING检测),即向WAN口对应的网关发送Ping报文,以检测通信是否正常。
PING检测地址亦可写常用公网测试地址(如114.114.114.114)。
3、点击应用按钮,配置完成。
备注:主备模式,正常情况下,只有您设定的主链路处于工作状态。
当主链路发生故障时,路由器自动将主链路上的流量切换到备份链路;主链路恢复正常后,路由器自动将备份链路上的流量切换回主链路。
主备模式主要应用于两条链路(比如:主用链路采用带宽较大的光纤接入,备用链路采用带宽较小的ADSL接入)互为备份的情况下场景2:均衡模式某企业申请了两条运营商线路,两条线路均为电信100M,分别接ER路由器的WAN1和WAN2口,正常情况下,企业通过两条线路进行上网,流量按照1:1从两条线路出去。
配置步骤:页面向导:接口设置→WAN设置→双WAN工作模式1、双WAN工作模式选择均衡模式,缺省流量配置1:1从WAN1、WAN2转发(实际转发比例按照线路的带宽比例来设置)2、线路检测支持PING、DNS和NTP三种检测方式,这里WAN1和WAN2分别启用PING检测。
关于NAT+双出口的两种配置
关于NAT+双出⼝的两种配置⽬的:模拟拥有双出⼝链路情况下基于原地址策略路由功能,实现不同原内部地址从不同出⼝对外部⽹络的访问,由于多数实际情况下路由器在外部端⼝使⽤NAT对内⽹地址进⾏翻译,所以本试验也使⽤双NAT对内部地址进⾏翻译,实现通过多ISP访问Internet功能。
环境描述:使⽤设备为Cisco2621XM + NE-1E模块,该配置拥有两个FastEthernet以及⼀个Ethernet端⼝。
现使⽤Ethernet 1/0 端⼝连接内部局域⽹,模拟内部拥有100.100.23.0 255.255.0.0 与100.100.24.0 255.255.0.0 两组客户机情况下基于原地址的策略路由。
Fastethernet 0/0 模拟第⼀个ISP接⼊端⼝,Fastethernet 0/1模拟第⼆个ISP接⼊端⼝,地址分别为 Fastethernet 0/0 的ip地址192.168.1.2 255.255.255.0 对端ISP地址192.168.1.1 255.255.255.0 Fastethernet 0/1 的ip地址192.168.2.2 255.255.255.0 对端ISP地址192.168.2.1 255.255.255.0通过策略路由后对不同原地址数据流量进⾏分流,使得不同原地址主机通过不同ISP接⼝访问Internet,并为不同原地址主机同不同NAT地址进⾏转换。
具体配置:hostname Routerinterface FastEthernet0/0 --------------------假设该端⼝为ISP 1接⼊端⼝ip address 192.168.1.2 255.255.255.0 --------分配地址ip nat outside --------指定为NAT Outside端⼝no shutinterface FastEthernet0/1 --------------------假设该端⼝为ISP 2接⼊端⼝ip address 192.168.2.2 255.255.255.0 --------分配地址ip nat outside --------指定为NAT Outside端⼝no shutinterface Ethernet1/0 --------------------假设该端⼝为内部⽹络端⼝ip address 100.100.255.254 255.255.0.0 --------分配地址ip nat inside --------指定为NAT Inside端⼝ip policy route-map t0 --------在该端⼝上使⽤route-map t0进⾏策略控制ip nat inside source list 1 interface FastEthernet0/0 overload ------Nat转换,指定原地址为100.100.23.0的主机使⽤Fastethernet 0/0的地址进⾏转换ip nat inside source list 2 interface FastEthernet0/1 overload ------Nat转换,指定原地址为100.100.24.0的主机使⽤Fastethernet 0/1的地址进⾏转换ip route 0.0.0.0 0.0.0.0 192.168.2.1 ------静态路由,对Internet的访问通过192.168.2.1(ISP2)链路ip route 0.0.0.0 0.0.0.0 192.168.1.1 ------静态路由,对Internet的访问通过192.168.1.1(ISP1)链路access-list 1 permit 100.100.23.0 0.0.0.255 ----访问控制列表1,⽤于过滤原地址,允许100.100.23.0⽹段主机流量通过access-list 2 permit 100.100.24.0 0.0.0.255 ----访问控制列表2,⽤于过滤原地址,允许100.100.23.0⽹段主机流量通过route-map t0 permit 10 ----定义route-map t0,permit序列为10match ip address 1 ----检查原地址,允许100.100.23.0 ⽹段地址set interface FastEthernet0/0 ----指定出⼝为Fastethetnet 0/0route-map t0 permit 20 ----定义route-map t0,permit序列为20match ip address 2 ----检查原地址,允许100.100.24.0 ⽹段地址set interface FastEthernet0/1 ----指定出⼝为Fastethetnet 0/1察看路由表Router#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static route100.0.0.0/16 is subnetted, 1 subnetsC 100.100.0.0 is directly connected, Ethernet1/0C 192.168.1.0/24 is directly connected, FastEthernet0/0C 192.168.2.0/24 is directly connected, FastEthernet0/1S* 0.0.0.0/0 [1/0] via 192.168.1.1[1/0] via 192.168.2.1发现静态路由存在两条路径!察看ip Nat translationsRouter#sho ip nat translationsPro Inside global Inside local Outside local Outside globalicmp 192.168.1.2:1024 100.100.23.23:1024 1.1.1.1:1024 1.1.1.1:1024icmp 192.168.2.2:1280 100.100.24.23:1280 1.1.1.1:1280 1.1.1.1:1280由于路由器外部存在1.1.1.1的地址,⽤于模拟Internet公⽹地址,发现不同⽹段内部主机流量确实已经从不同出⼝访问外部资源,并且使⽤了不同Nat进⾏地址转换!注:⼤部分多ISP情况下都要使⽤NAT地址转换功能,但有些特殊情况下不需使⽤NAT功能,如果不是⽤NAT,就将配置中的有关NAT的配置去掉,如此配置中去掉 ip nat inside source list 1 interface FastEthernet0/0 overload 和ip nat inside source list 2 interface FastEthernet0/1 overload以及在端⼝上去掉ip Nat outside和ip nat inside的配置,就可以实现不⽤NAT的策略路由。
H3C-路由器双出口NAT服务器的典型配置
H3C MSR路由器双出口NAT服务器的典型配置一、需求:MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。
电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。
该校内网服务器192。
168.34.55需要对外提供访问,其域名是test。
h3c。
,对应DNS解析结果是211。
1.1。
4。
先要求电信主机和校园网内部主机都可以通过域名或211。
1。
1。
4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络.设备清单:MSR一台二、拓扑图:三、配置步骤:适用设备和版本:MSR系列、Version 5。
20,Release 1205P01后所有版本。
四、配置关键点:1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现;2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211。
1.1。
4会被电信给过滤掉,因此必须使用策略路由从G5/1出去;3)策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策略;4)在G0/0应用2个NAT的作用是使内网可以通过访问211.1。
1。
4访问内部服务器test。
cn,如果只使用NAT Outbound Static,那么内部主机192.168。
1。
199发送HTTP请求的源、目的地址对<192。
168。
1.199, 211.1。
1.4〉会变成〈192。
168.1。
199,192.168。
34.55>然后发送给内部服务器,那么内部服务器会把HTTP响应以源、目的地址对<192.168.34。
华为路由器 双出口
双链路都是以太网链路做地址转换实现负载分担
【需求】 双出口上 internet,两条链路都是使用以太网链路,双线路实现负载分担,且互为备份。 【组网图】
【配置步骤】 所在视图 <Quidway> [Quidway]
[Quidway-acl-basic-2000]
[Quidway-acl-basic-2000] [Quidway-acl-basic-2000]
ip address 192.168.1.1 255.255.255.0
quit
interface Ethernet2/0
ip
address
100.100.100.1
255.255.255.248
nat outbound 2000
quit
interface Ethernet3/0
ipaddress200.200.200.1
[Quidway-detect-group-2] [Quidway]
【配置脚本】 #
quit ip route-static 0.0.0.0 100.100.100.6 preference 60
Disp curr 的信息
0.0.0.0
配置默认路由,下一跳地址为 运营商提供的公网网关,优先 级为 60
sysname Quidway # firewall enable # connection-limit disable connection-limit default action deny connection-limit default amount 50 20 # web set-package force flash:/http.zip # radius scheme system # domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 # acl number 2000 rule 0 permit source 192.168.1.0 0.0.0.255 rule 1 deny # interface Ethernet1/0 ip address 192.168.1.1 255.255.255.0 # interface Ethernet1/1 # interface Ethernet1/2 # interface Ethernet1/3 # interface Ethernet1/4 # interface Ethernet2/0