Cisco策略路由双地址双出口+NAT
环境描述:使用设备为Cisco2621XM + NE-1E模块,该配置拥有两个FastEthernet以及一个Ethernet端口。 现使用Ethernet 1/0 端口连接内部局域网,模拟内部拥有100.100.23.0 255.255.0.0 与100.100.24.0 255.255.0.0 两组客户机情况下基于原地址的策略路由。
Fastethernet 0/0 模拟第一个ISP接入端口,Fastethernet 0/1模拟第二个ISP接入端口,地址分别为 Fastethernet 0/0 的ip地址192.168.1.2 255.255.255.0 对端ISP地址192.168.1.1 255.255.255.0
Fastethernet 0/1 的ip地址192.168.2.2 255.255.255.0 对端ISP地址192.168.2.1 255.255.255.0
通过策略路由后对不同原地址数据流量进行分流,使得不同原地址主机通过不同ISP接口访问Internet,并为不同原地址主机同不同NAT地址进行转换。
具体配置:
效果检验: 察看路由表
发现静态路由存在两条路径!
察看ip Nat translations
由于路由器外部存在1.1.1.1的地址,用于模拟Internet公网地址,发现不同网段内部主机流量确实已经从不同出口访问外部资源,并且使用了不同Nat进行地址转换!
注:大部分多ISP情况下都要使用NAT地址转换功能,但有些特殊情况下不需使用NAT功能,如果不是用NAT,就将配置中的有关NAT的配置去掉,
如此配置中去掉 ip nat inside source list 1 interface FastEthernet0/0 overload 和ip nat inside source list 2 interface FastEthernet0/1 overload
以及在端口上去掉ip Nat outside和ip nat inside的配置,就可以实现不用NAT的策略路由。
以上试验可以实现基于原地址的策略路由功能,可以根据内网原地址进行不同流量通过不同ISP接口访问Internet的功能,但仍没有实现双链路相互备份的功能,即当任意一条链路出现故障的时候无法自动使用另一条链路进行备份,造成一部分相应的内网主机无法访问外网的情况。
Fastethernet 0/0 模拟第一个ISP接入端口,Fastethernet 0/1模拟第二个ISP接入端口,地址分别为 Fastethernet 0/0 的ip地址192.168.1.2 255.255.255.0 对端ISP地址192.168.1.1 255.255.255.0
Fastethernet 0/1 的ip地址192.168.2.2 255.255.255.0 对端ISP地址192.168.2.1 255.255.255.0
通过策略路由后对不同原地址数据流量进行分流,使得不同原地址主机通过不同ISP接口访问Internet,并为不同原地址主机同不同NAT地址进行转换。
具体配置:
| version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router !! ip subnet-zero !! call rsvp-sync ! interface FastEthernet0/0 --------------------假设该端口为ISP 1接入端口 ip address 192.168.1.2 255.255.255.0 --------分配地址 ip nat outside --------指定为NAT Outside端口 duplex auto speed auto ! interface FastEthernet0/1 --------------------假设该端口为ISP 2接入端口 ip address 192.168.2.2 255.255.255.0 --------分配地址 ip nat outside --------指定为NAT Outside端口 duplex auto speed auto ! interface Ethernet1/0 --------------------假设该端口为内部网络端口 ip address 100.100.255.254 255.255.0.0 --------分配地址 ip nat inside --------指定为NAT Inside端口 ip policy route-map t0 --------在该端口上使用route-map t0进行策略控制 half-duplex ! ip nat inside source list 1 interface FastEthernet0/0 overload ------Nat转换,指定原地址为100.100.23.0的主机使用Fastethernet 0/0的地址进行转换 ip nat inside source list 2 interface FastEthernet0/1 overload ------Nat转换,指定原地址为100.100.24.0的主机使用Fastethernet 0/1的地址进行转换 ip classless ip route 0.0.0.0 0.0.0.0 192.168.2.1 ------静态路由,对Internet的访问通过192.168.2.1(ISP2)链路 ip route 0.0.0.0 0.0.0.0 192.168.1.1 ------静态路由,对Internet的访问通过192.168.1.1(ISP1)链路 ip http server 静太路由不起很大的作用,因为存在策略路由,主要是set int 要求有显示的去往目的的路由 ! access-list 1 permit 100.100.23.0 0.0.0.255 ----访问控制列表1,用于过滤原地址,允许100.100.23.0网段主机流量通过 access-list 2 permit 100.100.24.0 0.0.0.255 ----访问控制列表2,用于过滤原地址,允许100.100.23.0网段主机流量通过 如果做set int 备份,则acl1,acl2应该允许所有的,进行nat route-map t0 permit 10 ----定义route-map t0,permit序列为10 match ip address 1 ----检查原地址,允许100.100.23.0 网段地址 set interface FastEthernet0/0 ----指定出口为Fastethetnet 0/0 (set interface FastEthernet0/1) 我认为可以做备份 ! route-map t0 permit 20 ----定义route-map t0,permit序列为20 match ip address 2 ----检查原地址,允许100.100.24.0 网段地址 set interface FastEthernet0/1 ----指定出口为Fastethetnet 0/1 ! (set interface FastEthernet0/1) 我认为可做备份 ! dial-peer cor custom ! line con 0 line aux 0 line vty 0 4 ! end |
效果检验: 察看路由表
| Router#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route 100.0.0.0/16 is subnetted, 1 subnets C 100.100.0.0 is directly connected, Ethernet1/0 C 192.168.1.0/24 is directly connected, FastEthernet0/0 C 192.168.2.0/24 is directly connected, FastEthernet0/1 S* 0.0.0.0/0 [1/0] via 192.168.1.1 [1/0] via 192.168.2.1 |
发现静态路由存在两条路径!
察看ip Nat translations
| Router#sho ip nat translations Pro Inside global Inside local Outside local Outside global icmp 192.168.1.2:1024 100.100.23.23:1024 1.1.1.1:1024 1.1.1.1:1024 icmp 192.168.2.2:1280 100.100.24.23:1280 1.1.1.1:1280 1.1.1.1:1280 |
由于路由器外部存在1.1.1.1的地址,用于模拟Internet公网地址,发现不同网段内部主机流量确实已经从不同出口访问外部资源,并且使用了不同Nat进行地址转换!
注:大部分多ISP情况下都要使用NAT地址转换功能,但有些特殊情况下不需使用NAT功能,如果不是用NAT,就将配置中的有关NAT的配置去掉,
如此配置中去掉 ip nat inside source list 1 interface FastEthernet0/0 overload 和ip nat inside source list 2 interface FastEthernet0/1 overload
以及在端口上去掉ip Nat outside和ip nat inside的配置,就可以实现不用NAT的策略路由。
以上试验可以实现基于原地址的策略路由功能,可以根据内网原地址进行不同流量通过不同ISP接口访问Internet的功能,但仍没有实现双链路相互备份的功能,即当任意一条链路出现故障的时候无法自动使用另一条链路进行备份,造成一部分相应的内网主机无法访问外网的情况。
多WAN的三代策略路由技术发展及原理介绍
这篇是侠诺的WAN的三代策略路由器介绍,觉得也不错,不知道谁用过? 笔者第一次听到策略路由这个词,是在一年多以前。那时,Qno侠诺刚推出以QoS绑定功能配合多WAN接入,实现电信及网通分流的功能。在一次地区性推广中,有渠道商提出以“策略路由”,称呼这个功能,之后觉得这个词不错,就这么慢慢地叫开了。想不到,现在这个功能几乎成了市场上多WAN路由器必备的功能,也衍生了许多不同功能。发展到现在,已经是第三代策略路由了。 策略路由在市场上受到欢迎,主要是因为满足了用户对宽带的需求。相信很多读者对这个功能都想进一步了解,本文即以过来人的身份,为大家介绍这个功能的技术内容及发展。
一、策略路由-中国特色路由器功能
国外的路由器并没有策略路由功能,它是源自于中国特有宽带接入环境的特殊功能。单这一点,就值得我们对这一个功能加以关注。它的发展,显现了多WAN路由器厂商如何因为中国特有的市场特性,发展出中国特色的功能,以满足用户的需要。也就是说具有策略路由功能的多WAN路由器,是具有中国特色的多WAN路由器。
侠诺科技团队从1997年即开始进行宽带分享路由器的技术及产品开发,在历经国际化市场的成功后,于2004年以Qno品牌进入中国市场。当我们于2004年中进入中国市场后,即发现中国众多的网吧对于多WAN宽带路由器,有广大的需求及期望。因此,2004年初期,即以国外最常应用的多WAN路由器负载均衡功能,进行推广。
在2004年中,即发现负载均衡在许多网吧应用使用时,产生游戏掉线或上网很卡情况。经过派出技术人员到现场察看后,发现由于电信与网通间的带宽不大,因此如果从电信线路要到网通的服务器时,会发生响应很慢情况,严重时甚至会掉线;而从网通线路到电信的服务器时,也会发生同样的情况。这个情况,造成网吧客人抱怨,网吧网管只好将客人分区,电信区客人从电信线路上网,网通区客人从网通线路上网。也就是用户一次只能玩一家运营商的游戏,要换个游戏得要换个座位才成。
二、策略路由的起源及基本原理
2004年底,在一次讨论中,Qno侠诺技术人员提出利用带宽管理功能,将游戏服务器的IP地址及WAN端口绑定的功能,这样就可以达到分流的功能。也就是说只要收集网通服务器的IP地址,再以带宽管理功能,绑定到网通线路的WAN口;而电信的服务器线路及WAN口也同样绑定,这样就能达到自动分流的功能。有了这样的配置后,网吧网管只要在路由器中进行游戏服务器IP地址和WAN口的配置,网吧就可以不用分区,用户可以同时玩不同运营商的游戏,成为一吧双网的配置。这就是第一代的策略路由,初步达成了针对游戏服务器的网络包进行分流的功能。
第一代手动配置的策略路由推广几个月后,到了2005年中,由于新的游戏服务器不断增加,加上采用策略路由功能的用户越来越多,因此需要时时支持通知用户作游戏地址的更新。同时,没有绑定到的服务器,同样会发生响应很慢的情况。最严重的是,每个新路由器都必须一一加入绑定的配置,花去太多的人力。
于是在2005年的5月,Qno侠诺推出了第二代策略路由功能,希望解决第一代策略路由的缺点。第二代策略路由的功能,就是可以配置文件的功能,一次输入所有的IP地址,可以节省用户进行策略路由配置的时间,加速配置。另外,由于以往针对服务器IP地址一一输入的方式,只能解决游戏服务器接取,其它的应用可能还是很慢,于是利用平时所收集的数据,以输入网段信息分别不同运营商服务器,而不是以IP地址信息加以分别,这样可以确保所有的服务电信走电信,网通走网通,而不光是针对游戏,更有效优化带宽的使用。
三、第三代策略路由
第二代策略路由简化了配置的功能,也进一步优化电信网通分流的功能,使得所有应用都可自动分流。在2006年9月,结合市场上的反馈及用户使用多WAN路由器的配置,Qno侠诺再开发出第三代的策略路由功能。第三代策略路由功能主要适用于双WAN以上路由器,也就是适用四WAN或八WAN路由器。当采用策略路由的用户有多条同一运营商的线路时,例如一条光纤及一条AD(有些地区的运营商会免费送一条AD给光纤用户)、二条光纤(有些地区的光纤费用较低)、或多条AD(有些用户采用多条AD,以节省成本),第三代策略路由支持多条运营商线路的负载均衡及线路指定,再一步优化带宽的运用。
第三代策略路由是因应实际的需要而来的,它可解决以下案例中的问题:
提高网游的兼容性:第二代策略路由在面临同一运营商有多条线路时,会随意从不同的线路发出网络包。由于有些网游软件要求从同一个目的持续发出网络包,因此虽然是同一个运营商,但是变换WAN口往往引发网游掉线的情况。第三代策略路由可依联机数进行多条线路带宽均衡,提高多WAN应用网游的兼容及稳定性。
网吧业者提高网游服务质量:BT等下载软件常常会大量占用带宽,影响到其它的应用。虽然路由器提供防制BT的功能,但是有的网吧业主希望提供较好的服务给客户,不希望限制或阻档BT。例如当网吧有一条光纤及一条AD连电信,一条AD连网通时,第三代策略路由可允许网管将所有电信网游的包送往AD线路,而把电信BT的包往光纤线路送,由于网游网络包占用带宽很小,因此一条电信AD可以支持很多用户,即使当有用户使用BT时,网游完全不会受到限制。当然,网通的包是朝网通线路送。
小区业者提供差别服务:有些小区业者会采用多条AD取代光纤,提供给客户使用,例如采用五条AD,其中四条为网通,一条为电信。由于小区业者希望能提供差别服务,每个月月费较高者可以给较宽裕的带宽,因此需要针对用户再予以分流。第三代策略路由可支持将高月费用户划成同一群组,一般用户划成另一群组,高月费用户可共享三条网通AD,而一般收费用户则共享一条网通AD,这样可达成差别服务功能。
由以上的介绍中,我们可以了解到,其实第三代策略路由实现了分流再分流的功能,第一次分流,是依网络包为目的为网通或电信加以区分,第二次分流则是依网管的配置,依服务、用户、或其它配置,再进行区分,以达到有效管理,优化带宽运用的目的。
四、三代策略路由功能小结
相信经过以上说明,读者对于不同代的策略路由有了更清楚的了解,对于策略路由的发展也有进一步的认识。作者有幸见证到中国宽带接入的快速发展,并有机会为这个发展付出贡献。以下整理三代策略路由的内容及特性表,供各位读者参考。如有相关技术问题,很欢迎来信讨论。
表一:三代策略路由功能比较
一、策略路由-中国特色路由器功能
国外的路由器并没有策略路由功能,它是源自于中国特有宽带接入环境的特殊功能。单这一点,就值得我们对这一个功能加以关注。它的发展,显现了多WAN路由器厂商如何因为中国特有的市场特性,发展出中国特色的功能,以满足用户的需要。也就是说具有策略路由功能的多WAN路由器,是具有中国特色的多WAN路由器。
侠诺科技团队从1997年即开始进行宽带分享路由器的技术及产品开发,在历经国际化市场的成功后,于2004年以Qno品牌进入中国市场。当我们于2004年中进入中国市场后,即发现中国众多的网吧对于多WAN宽带路由器,有广大的需求及期望。因此,2004年初期,即以国外最常应用的多WAN路由器负载均衡功能,进行推广。
在2004年中,即发现负载均衡在许多网吧应用使用时,产生游戏掉线或上网很卡情况。经过派出技术人员到现场察看后,发现由于电信与网通间的带宽不大,因此如果从电信线路要到网通的服务器时,会发生响应很慢情况,严重时甚至会掉线;而从网通线路到电信的服务器时,也会发生同样的情况。这个情况,造成网吧客人抱怨,网吧网管只好将客人分区,电信区客人从电信线路上网,网通区客人从网通线路上网。也就是用户一次只能玩一家运营商的游戏,要换个游戏得要换个座位才成。
二、策略路由的起源及基本原理
2004年底,在一次讨论中,Qno侠诺技术人员提出利用带宽管理功能,将游戏服务器的IP地址及WAN端口绑定的功能,这样就可以达到分流的功能。也就是说只要收集网通服务器的IP地址,再以带宽管理功能,绑定到网通线路的WAN口;而电信的服务器线路及WAN口也同样绑定,这样就能达到自动分流的功能。有了这样的配置后,网吧网管只要在路由器中进行游戏服务器IP地址和WAN口的配置,网吧就可以不用分区,用户可以同时玩不同运营商的游戏,成为一吧双网的配置。这就是第一代的策略路由,初步达成了针对游戏服务器的网络包进行分流的功能。
第一代手动配置的策略路由推广几个月后,到了2005年中,由于新的游戏服务器不断增加,加上采用策略路由功能的用户越来越多,因此需要时时支持通知用户作游戏地址的更新。同时,没有绑定到的服务器,同样会发生响应很慢的情况。最严重的是,每个新路由器都必须一一加入绑定的配置,花去太多的人力。
于是在2005年的5月,Qno侠诺推出了第二代策略路由功能,希望解决第一代策略路由的缺点。第二代策略路由的功能,就是可以配置文件的功能,一次输入所有的IP地址,可以节省用户进行策略路由配置的时间,加速配置。另外,由于以往针对服务器IP地址一一输入的方式,只能解决游戏服务器接取,其它的应用可能还是很慢,于是利用平时所收集的数据,以输入网段信息分别不同运营商服务器,而不是以IP地址信息加以分别,这样可以确保所有的服务电信走电信,网通走网通,而不光是针对游戏,更有效优化带宽的使用。
三、第三代策略路由
第二代策略路由简化了配置的功能,也进一步优化电信网通分流的功能,使得所有应用都可自动分流。在2006年9月,结合市场上的反馈及用户使用多WAN路由器的配置,Qno侠诺再开发出第三代的策略路由功能。第三代策略路由功能主要适用于双WAN以上路由器,也就是适用四WAN或八WAN路由器。当采用策略路由的用户有多条同一运营商的线路时,例如一条光纤及一条AD(有些地区的运营商会免费送一条AD给光纤用户)、二条光纤(有些地区的光纤费用较低)、或多条AD(有些用户采用多条AD,以节省成本),第三代策略路由支持多条运营商线路的负载均衡及线路指定,再一步优化带宽的运用。
第三代策略路由是因应实际的需要而来的,它可解决以下案例中的问题:
提高网游的兼容性:第二代策略路由在面临同一运营商有多条线路时,会随意从不同的线路发出网络包。由于有些网游软件要求从同一个目的持续发出网络包,因此虽然是同一个运营商,但是变换WAN口往往引发网游掉线的情况。第三代策略路由可依联机数进行多条线路带宽均衡,提高多WAN应用网游的兼容及稳定性。
网吧业者提高网游服务质量:BT等下载软件常常会大量占用带宽,影响到其它的应用。虽然路由器提供防制BT的功能,但是有的网吧业主希望提供较好的服务给客户,不希望限制或阻档BT。例如当网吧有一条光纤及一条AD连电信,一条AD连网通时,第三代策略路由可允许网管将所有电信网游的包送往AD线路,而把电信BT的包往光纤线路送,由于网游网络包占用带宽很小,因此一条电信AD可以支持很多用户,即使当有用户使用BT时,网游完全不会受到限制。当然,网通的包是朝网通线路送。
小区业者提供差别服务:有些小区业者会采用多条AD取代光纤,提供给客户使用,例如采用五条AD,其中四条为网通,一条为电信。由于小区业者希望能提供差别服务,每个月月费较高者可以给较宽裕的带宽,因此需要针对用户再予以分流。第三代策略路由可支持将高月费用户划成同一群组,一般用户划成另一群组,高月费用户可共享三条网通AD,而一般收费用户则共享一条网通AD,这样可达成差别服务功能。
由以上的介绍中,我们可以了解到,其实第三代策略路由实现了分流再分流的功能,第一次分流,是依网络包为目的为网通或电信加以区分,第二次分流则是依网管的配置,依服务、用户、或其它配置,再进行区分,以达到有效管理,优化带宽运用的目的。
四、三代策略路由功能小结
相信经过以上说明,读者对于不同代的策略路由有了更清楚的了解,对于策略路由的发展也有进一步的认识。作者有幸见证到中国宽带接入的快速发展,并有机会为这个发展付出贡献。以下整理三代策略路由的内容及特性表,供各位读者参考。如有相关技术问题,很欢迎来信讨论。
表一:三代策略路由功能比较
| 第一代 | 第二代 | 第三代 | |
| 功能 | 不同运营商游戏服务器网络包的分流 | 不同运营商所有应用网络包的分流 简化配置流程 | 不同运营商所有应用网络包的分流 同一运营商多条线路负载均衡及带宽管理 |
| 实现手段 | 服务器IP地址与WAN端口绑定 | 运营商IP网段与WAN端口绑定 内建网段数据的策略路由配置文件 | 内建运营商IP网段于路由器软件中 支持二次分流,结合策略路由及带宽管理 |
| 适用 | 网游自动分流 | 不同运营商所有网络包自动分流 | 同一运营商有多条线路策略路由配置 不同运营商所有网络包自动分流 进阶带宽分流管理功能 |
转载于:https://blog.51cto.com/micmia/238705
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
