2811策略

解拓撲和設備簡單描述：

思科2811路由器一臺，三個FE口，f0/0接ISP1，f0/1接ISP2(ADSL)，f1/0接內網交換機

 

問題呈現：

 

ISP1專線有公網IP，下載可以，但開網頁不行，第一次聯站點要5秒，後面就對了；

ISP2是ADSL，開網頁比ISP1快多了，下載速度不行。

帖主分析：估計ISP1開網頁慢是因爲DNS解析慢的原因。

 

帖主爲了優化，想實現如下需求：

 

讓DNS解析只通過ISP2來走，PC在從ISP2得到正確外網域名IP地址後，再通過ISP1跑所有數據，在ISP2不能解析地址時，再自己解析。

ISP2在ISP1失效時，所有數據走自己。

帖主分析難點：這裏的難點在於內網通過ISP1或2訪問外網時作了NAT複用，端口就有變化了，怎麼去控制內網的訪問呢？

 

在解決這個問題之前，我們先來了解一些知識點：

NAT(Network Address Translation)的功能，就是指在一個網絡內部，根據需要可以隨意自定義的IP地址，而不需要經過申請。在網絡內部，各計算機間通過內部的IP地址進行通訊。而當內部的計算機要與外部internet網絡進行通訊時，具有NAT功能的設備（比如：路由器）負責將其內部的IP地址轉換爲合法的IP地址（即經過申請的IP地址）進行通信。

 

通常NAT用於兩種情況：一個企業不想讓外部網絡用戶知道自己的網絡內部結構，可以通過NAT將內部網絡與外部Internet 隔離開，則外部用戶根本不知道通過NAT設置的內部IP地址，其次是一個企業申請的合法Internet IP地址很少，而內部網絡用戶很多。可以通過NAT功能實現多個用戶同時公用一個合法IP與外部Internet 進行通信。

 

而要達到這些目的，需要設置NAT功能的路由器至少要有一個內部端口（Inside），一個外部端口（Outside）。內部端口連接的網絡用戶使用的是內部IP地址。並且內部端口可以爲任意一個路由器端口。外部端口連接的是外部的網絡，如Internet 。外部端口可以爲路由器上的任意端口。另外提醒一點，設置NAT功能的路由器的IOS應支持NAT功能。有關NAT更多的介紹，請參閱《路由器NAT功能配置簡介》一文。

 

現在我們來看看怎樣解決剛纔提到的幾個問題：

解決思路：

ISP2的nat匹配DNS解析

ISP1的nat匹配其他

或者

ISP2跑http

其他的跑ISP1

 

配置實例：

 

interface FastEthernet0/0                             --------假設該端口爲ISP 2接入端口

ip address 192.168.1.2 255.255.255.0         --------分配地址

ip nat outside                                                --------指定爲NAT Outside端口

!

interface FastEthernet0/1                             ---------假設該端口爲ISP 1接入端口

ip address 192.168.2.2 255.255.255.0         --------分配地址

ip nat outside                                                --------指定爲NAT Outside端口

!

interface FastEthernet1/0                             -------假設該端口爲內部網絡端口

ip address 192.168.3.1 255.255.255.0        --------分配地址

ip nat inside                                                  --------指定爲NAT Inside端口

ip policy route-map t0                                   --------在該端口上使用route-map t0進行策略控制

!

ip nat inside source list 101 interface FastEthernet0/0 overload       http應用做PAT，匹配101acl

ip nat inside source list 102 interface FastEthernet0/1 overload       其他應用做PAT，匹配102acl

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.2.1       ------靜態路由，對Internet的訪問通過192.168.2.1（ISP1）鏈路

ip route 0.0.0.0 0.0.0.0 192.168.1.1       ------靜態路由，對Internet的訪問通過192.168.1.1（ISP2）鏈路

ip http server

靜太路由不起很大的作用,因爲存在策略路由,主要是set int 要求有顯示的去往目的的路由

!

access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq 80

access-list 102 deny tcp 192.168.3.0 0.0.0.255 any eq 80

access-list 102 permit ip any any

!

route-map t0 permit 10                       ----定義route-map t0，permit序列爲10

match ip address 101                         ----匹配101ACL的數據

set interface FastEthernet0/0             ----指定出口爲Fastethetnet 0/0

!

route-map t0 permit 20                       ----定義route-map t0，permit序列爲20

match ip address 102                         ----匹配102ACL的數據 

set interface FastEthernet0/1             ----指定出口爲Fastethetnet 0/1

 

通過這樣的配置，基本問題已經解決了！通過這個帖子，或許我們能夠清晰的看到，當路由器作爲雙線出口時，一個基本的流控思路就是將雙線做合理分工，再加上 NAT後的ACL列表來實現基於端口的數據分流。這裏面的重點問題，就像帖主所提到的，當端口變化後，如何控制內網主機訪問。相信各種實際情況的不同，具體處理方式可能會略有不同，但總的來說，道理一定是通的。