您可能會碰到這樣的問題:一個公司會與兩個Internet服務提供商連接配接.
這樣做最大的作用是提高内網通路Internet的速度和外網通路内部伺服器的速度。當今日新月異的網絡發展,導緻不同的ISP之間因為競争關系互訪緩慢。就延伸出了這樣的網絡。那麼這就要解決公司如何科學的出外網的問題。
現在進入我們的正題——NAT的雙線接入。首先來看一下拓撲圖:
從圖上可以看出:
ü 公司的出口路由器NAT-Router将LAN和兩個Internet服務提供商ISP-A和ISP-B連接配接。在LAN中有一台WEB伺服器需要釋出到Internet上,供外網通路。
ü NAT-Router上S0/0的接口位址是200.200.200.1/24,可用于NAT的位址是200.200.200.10-12/24,對端ISP-A的位址是200.200.200.2/24
ü NAT-Router上S0/1的接口位址是201.201.201.1/24,可用于NAT的位址是201.201.201.10-12/24,對端ISP-A的位址是201.201.201.2/24
ü NAT-Router内網口的位址是192.168.1.1/24.
目前的要求是:
公司内部伺服器需要分别轉換成ISP-A位址和ISP-B位址,以便不同的ISP使用者更快地通路伺服器,并且内部通路Internet時,使用通路網站所在ISP的NAT位址進行位址轉化。
現在開始具體的配置和分析:
第一步:配置接口位址
NAT-Router(config)#int s0/0
NAT-Router(config-if)#ip add 200.200.200.1 255.255.255.0
NAT-Router(config-if)#no sh
NAT-Router(config)#int s0/1
NAT-Router(config-if)#ip add 201.201.201.1 255.255.255.0
NAT-Router(config-if)#int f0/0
NAT-Router(config-if)#ip add 192.168.1.1 255.255.255.0
第二步:配置PAT,實作内網通路外網
1. 定義通路控制清單,由于需要根據通路的IP位址的不同來選擇進行轉換的NAT位址,是以需要使用擴充通路控制清單,控制PAT轉換使用的位址池。
NAT-Router(config)#access-list 100 permit ip any 200.200.210.0 0.0.0.255
NAT-Router(config)#access-list 101 deny ip any 200.200.210.0 0.0.0.255
NAT-Router(config)#access-list 101 permit ip any any
說明:Access-list 100定義了到達ISP-A所有網段的ACL,此處以200.200.210.0代表ISP-A所有網段.access-list 101定義到達ISP-A所有網段以外的位址的ACL。也就是說隻有目标是ISP-A的資料包才會去往ISP-A。
2. 定義合法的位址池,分别定義ISP-A、ISP-B兩個合法的位址池。
NAT-Router(config)#ip nat pool ISP-A 200.200.200.10 200.200.200.12 netmask 255.255.255.0
NAT-Router(config)#ip nat pool ISP-B 201.201.201.10 201.201.201.12 netmask 255.255.255.0
3. 配置PAT轉換
NAT-Router(config)#ip nat inside source list 100 pool ISP-A overload
NAT-Router(config)#ip nat inside source list 101 pool ISP-B overload
說明:這樣配置之後,滿足access-list 100的資料包選擇ISP-A的位址進行轉換,滿足access-list 101的資料包選擇ISP-B的NAT位址池進行轉換,轉換後,資料包的源位址和目的位址便屬于同一個ISP,這樣的話大大加快了通路的速度。(注意:參數overload不要忘了配置)
第三步:配置靜态NAT,實作外網通路内網伺服器
NAT-Router(config)#ip nat inside source static tcp 192.168.1.2 80 200.200.200.1 80 extendable
NAT-Router(config)#ip nat inside source static tcp 192.168.1.2 80 201.201.201.1 80 extendable
說明:此處192.168.1.2是内網WEB伺服器的位址,200.200.200.1是外接口s0/0上ISP-A的位址,201.201.201.1是外接口s0/1上ISP-B的位址。(注意:參數extendable不可忽略,因為此處是将同一個内部局部位址轉換到多個内部全局位址。)
第四步:在内部和外部接口上啟用NAT
NAT-Router(config-if)#ip nat outside
NAT-Router(config-if)#int s0/1
NAT-Router(config-if)#int f1/0
NAT-Router(config-if)#ip nat inside
(注意:此處是兩個外接口)
第五步:配置靜态路由,實作對内網通路外網路由的控制
NAT-Router(config)#ip route 200.200.210.0 255.255.255.0 200.200.200.2
NAT-Router(config)#ip route 0.0.0.0 0.0.0.0 201.201.201.2
NAT-Router(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.2 120
(注意:通過路由選擇原則,将ISP-A的目的位址配置靜态路由并且下一跳指向ISP的路由器,再配置一條預設路由并且下一跳指向ISP-B的路由器,最後再配置一條管理距離為120的預設路由,用以對外出路由備份。)
好了,現在我們可以看到設定好的結果,現在就實作了NAT的雙線接入。
現在公司内部的伺服器被轉換成了兩個不同的ISP位址,不同的ISP使用者可以更加快速便捷的通路伺服器。公司内部通路Internet時,将會使用目的網站所在的ISP的NAT位址池進行位址轉化。大大加快了員工通路外網的速度。
本文出自 “zpp” 部落格,請務必保留此出處http://zpp2009.blog.51cto.com/730423/255433
本文出自 51CTO.COM技術部落格