静态nat+策略路由

静态NAT+策略路由

1 网络要求
在现实网络中，越来越的企业采用电信和网通双网接入网络，一些企业用户的server为公网用户提供服务的时候就要求同时提供电信和网通的公网地址，这样就需要策略路由和static NAT同时使用。
2 网络拓扑

 

 

3 路由器配置
interface FastEthernet0/0
ip address 192.168.30.253 255.255.255.0 //电信提供的公网地址
ip nat outside //设置成F0/0为outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.20.253 255.255.255.0 //网通提供的公网地址
ip nat outside //设置F0/1为outside出口
duplex auto
speed auto
!
interface FastEthernet0/0/0
ip address 192.168.10.254 255.255.255.0 //内网口私网地址
ip nat inside //设置F0/0/0为inside口
ip virtual-reassembly
ip policy route-map server //调用策略路由 server
duplex auto
speed auto
!!
ip nat inside source static 192.168.10.11 192.168.20.11 route-map server2
//配置静态映射，如果符合route-map server2 将私网地址192.168.10.11 映射成网通的公网地址192.168.20.11
ip nat inside source static 192.168.10.11 192.168.30.11 route-map server1
//配置静态映射，如果符合route-map server1 将私网地址192.168.10.11 映射成电信的公网地址192.168.30.11
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 host 1.1.1.1
//设置访问控制列表规则 假设1.1.1.1 为电信的公网地址
access-list 101 permit ip 192.168.10.0 0.0.0.255 host 2.2.2.2
//设置访问控制列表规则 假设2.2.2.2 为网通的公网地址
route-map server permit 10
match ip address 100
set ip next-hop 192.168.30.254
//设置策略路由 match 100的地址下跳为192.168.30.254
!
route-map server permit 20
match ip address 101
set ip next-hop 192.168.20.254
//设置策略路由 match 101的地址下跳为192.168.20.254

!
route-map server1 permit 10
match ip address 100
set ip next-hop 192.168.30.254 //为静态地址映射提供条件
!
route-map server2 permit 10
match ip address 101
set ip next-hop 192.168.20.254 //为静态地址映射提供条件
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
!
End

4 验证
将一台PC 用交叉线连接到路由器的F0/0/0端口，IP地址为192.168.10.11/24。网关为F0/0/0端口地址192.168.10.254。
在验证之前在路由器上用show ip nat tran 查看NAT条目

 
没有正常转换的条目。

在PC上ping 电信的公网地址1.1.1.1 
 

在查看路由器上的NAT条目。
 

此时192.168.10.11的地址已经被转换成192.168.30.11了。

在看下网通的地址2.2.2.2
 

同样可以ping通。
路由器上的NAT条目
 

此时服务器的地址192.168.10.11已经转换成了网通的公网地址192.168.20.11.

在看同时访问电信和网通的情况。
 

 

此时可以看到可以同时访问电信和网通，并且访问电信的连接将私网地址转换成电信的公网地址，访问网通的将地址映射成网通的地址。

此次试验的目的是测试内部服务器给不同的公网访问时要映射成不同的公网地址。
如果只是内部访问出去只要做ACL和NAT就可以了 不需要做策略路由。

转载于:https://blog.51cto.com/ccccc/380110