如拓扑所示,在实验室环境下,R5,R6,R7为CISCO2509路由器,和CISCO4000一起,一边模拟帧中继网络,一边用PPP chap认证,下面的局域网采用OSPF,均已配置成功,此来模拟两种不同的ISP接入,目前实验已经完成,成功的实现了线路冗余和负载均衡。
下面发下4000上的配置
r9#show run
Building configuration...
Current configuration : 1777 bytes
!
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname r9
!
!
username r7 password 0 123
!
!
!
!
ip subnet-zero
!
!
!
!
!
!
interface Loopback0
ip address 9.9.9.9 255.255.255.0
!
interface Ethernet0
ip address 172.16.1.1 255.255.255.0
ip nat inside
media-type 10BaseT
!
interface Ethernet1
ip address 172.16.4.1 255.255.255.0
ip nat inside
media-type 10BaseT
!
interface Serial0
no ip address
shutdown
no fair-queue
!
interface Serial1
ip address 172.16.2.1 255.255.255.0
ip nat outside
encapsulation frame-relay
ip policy route-map fuzai
frame-relay map ip 172.16.2.2 100 broadcast
frame-relay interface-dlci 100
!
interface Serial2
ip address 172.16.3.1 255.255.255.0
ip nat outside
encapsulation ppp
ip policy route-map fuzai
shutdown
!
interface Serial3
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.1.1 0.0.0.0 area 0
network 172.16.4.1 0.0.0.0 area 0
default-information originate
!
ip nat inside source route-map isp1 interface Serial1 overload
ip nat inside source route-map isp2 interface Serial2 overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.3.2
ip route 0.0.0.0 0.0.0.0 172.16.2.2
no ip http server
!
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 permit 192.168.4.0 0.0.0.255
access-list 2 permit 192.168.3.0
access-list 3 permit 192.168.4.0
route-map isp2 permit 20
match ip address 1
!
route-map isp1 permit 20
match ip address 1
match interface Serial1
!
route-map fuzai permit 10
match ip address 2
set ip default next-hop 172.16.2.2
!
route-map fuzai permit 20
match ip address 3
set ip default next-hop 172.16.3.2
!
!
!
line con 0
logging synchronous
line aux 0
line vty 0 4
!
end
发布于:2012-04-07 19:59这个问题所涉及的背景还是有点复杂的。
我手里也有一台ASA5520,软件版本8.3,也在寻求不增加前置路由器的情况下实现双线NAT。
翻遍了国内大大小小的相关论坛,基本上都说不可以实现,因为ASA不支持策略路由(PBR),如果手动根据外网的IP段逐条添加路由,因为IP段太多太杂,而且运营商的IP也常变动(专业的负载均衡设备往往是根据用户的DNS,而不是IP来判断),因此也不现实。所以要在前面加一台路由器。
又到国外网站翻了半天,主要内容大都出现在思科官网的社区里,基本上也是上面的观点。但是有一个老外说他与思科内部的人员有联系,知道ASA可以在不增加前置路由器的情况下实现双线NAT。但是具体方法是不公开的,可能是希望用户多买一台路由器。
因为实在找不到相关的指导内容,只好将思科官方的8.3手册和命令行参考拿来仔细查看,一本是一千多页,另一本是三千多页,花了两天时间,通过实机调试,确定书上没有介绍不使用路由器的方法。
目前在寻找这种不公开的方法方面,我已经有了一点眉目,如果能够最终证明是可行且可靠的。我将写一个详细的文档。
2017年2月16日
没有想到好几年过去了,还有人关注这个问题。
这个是好前几年我在网络部门时做过的,投入了实际应用。因为发表在《网管员世界》(现已经更名),所以根据要求,就没有在网上公布方法。
总体思路是用两次反向NAT实现的。我现在已经离开原部门好几年,电脑和资料都上交了。但当时杂志上是登出具体配置的,需要的朋友可以找一下杂志,或按思路自己调试一下。
ISP是互联网接入服务商,比如电信、联通、网通、铁通等等;ICP是互联网内容服务商,比如百度、新浪、网易、搜狐等等;
ISP/ICP双接入资质,就是能同时提供以上两项服务和其他增值服务的服务商。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)