设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 1425|回复: 0

[经验分享] Cisco 双出口策略方案实例

[复制链接]
haishi
累计签到:2 天
连续签到:2 天
发表于 2018-7-21 07:14:08 | 显示全部楼层 |阅读模式
  ROUTER>EN
  ROUTER#CONFIG T
  Router(Config)>int fa 0/0
  Router(Config-if)>ip addr 192.168.0.1 255.255.255.0
  Router(Config-if)>ip nat inside
  Router(Config-if)>ip policy route-map dual_isp
  Router(Config-if)>int fa 0/1
  Router(Config-if)>ip addr 电信分配的地址
  Router(Config-if)>no shut
  Router(Config-if)>ip nat outside
  Router(Config-if)>int fa 1/0
  Router(Config-if)>ip addr 网通分配的地址
  Router(Config-if)>no shut
  Router(Config-if)>ip nat outside
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.102.128.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.11.0.0 255.254.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.21.128.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.24.0.0 255.254.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.26.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.27.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.28.0.0 255.254.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.56.0.0 255.252.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.60.0.0 255.254.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.62.0.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.67.128.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.68.0.0 255.254.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  218.7.0.0 255.252.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  219.141.128.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  219.142.0.0 255.254.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  219.154.0.0 255.254.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  219.156.0.0 255.254.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  219.158.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  219.159.0.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.102.224.0 255.255.224.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.106.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.107.0.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.108.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.110.0.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.110.192.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.111.128.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.96.0.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.96.64.0 255.255.224.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.97.128.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.98.0.0 255.255.224.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  202.99.0.0 255.255.255.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.0.0.0 255.252.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.10.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.11.0.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.11.128.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.11.192.0 255.255.224.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.12.0.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.12.128.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.13.0.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.13.64.0 255.255.224.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.13.128.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.192.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.196.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.199.0.0 255.255.224.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.199.32.0 255.255.240.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.199.128.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.199.192.0 255.255.240.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.200.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.204.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.207.0.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.208.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.4.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.6.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.7.0.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.7.64.0 255.255.224.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.7.128.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  221.8.0.0 255.254.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  222.128.0.0 255.240.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  222.160.0.0 255.252.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  222.163.0.0 255.255.224.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  60.0.0.0 255.248.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  60.8.0.0 255.252.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  60.10.0.0 255.252.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  60.12.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  60.13.0.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  60.13.128.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  60.16.0.0 255.240.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  60.208.0.0 255.248.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  60.220.0.0 255.252.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.133.0.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.134.96.0 255.255.224.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.134.128.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.135.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.136.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.138.0.0 255.255.128.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.138.128.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.139.128.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.148.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.149.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.156.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.158.0.0 255.255.0.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255  61.159.0.0 255.255.192.0
  Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255   61.161.0.0 255.255.192.0       Router(Config)>Access-list 101 permit   Ip 192.168.0.0 0.0.0.255 61.161.128.0 255.255.128.0       Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255   61.162.0.0 255.255.0.0         Router(Config)>Access-list 101 permit   Ip 192.168.0.0 0.0.0.255 61.163.0.0 255.255.0.0           Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255   61.167.0.0 255.255.0.0         Router(Config)>Access-list 101 permit   Ip 192.168.0.0 0.0.0.255 61.168.0.0 255.255.0.0           Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255   61.176.0.0 255.255.0.0         Router(Config)>Access-list 101 permit   Ip 192.168.0.0 0.0.0.255 61.179.0.0 255.255.0.0           Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255   61.180.128.0 255.255.128.0     Router(Config)>Access-list 101 permit   Ip 192.168.0.0 0.0.0.255 61.181.0.0 255.255.0.0           Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255   61.182.0.0 255.255.0.0         Router(Config)>Access-list 101 permit   Ip 192.168.0.0 0.0.0.255 61.189.0.0 255.255.128.0         Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255   61.48.0.0 255.252.0.0         Router(Config)>Access-list 101 permit   Ip 192.168.0.0 0.0.0.255 61.52.0.0 255.254.0.0            Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255   61.54.0.0 255.255.0.0          Router(Config)>Access-list 101 permit   Ip 192.168.0.0 0.0.0.255 61.55.0.0 255.255.0.0
  Router(Config)>Access-list 102 permit Ip any any
  Router(Config)>Ip Nat Inside Source Route-map CT_NAT int fa 0/1  overload
  Router(Config)>Ip Nat Inside Source Route-map CNC_NAT int fa 1/0  overload
  Router(Config)>Route-map CT_NAT Permit 10
  Router(Config-route-map)>Match Int Fa 0/1      (这里不会匹配外面发给它的包,因为DNAT优先于路由选择)
  Router(Config)>Route-map CNC_NAT Permit 10
  Router(Config-route-map)>Match Int fa1/0        (指这个接口所收到的所有包除了DNAT匹配的,会先进行目标转换,这样目标并不会是FA1/0,而是内部的一个IP,这里其实可以写next-hop  便于理解,也便于检测对方的存在)
  Router(Config)>Route-map dual_isp Permit 10
  Router(Config-route-map)>Match Ip address 101
  Router(Config-route-map)>set ip next-hop 网通网关     电信网关(这里恰好把包发给了NAT所需要的接口,注意这里只是改变了包的下一跳而不是目标。还要注意这里并不是把包扔给了next-hop而是改变了  寻路方式,转发将在此之后进行寻路,之后便是源地址转换:路由器2大功能寻路,转发是分开的,由此可以看出,如果策略NAT里匹配的是对方ISP的地址为 下一跳,那可以检测对方的存在与否)
  Router(Config)>Route-map dual_isp Permit 20
  Router(Config-route-map)>Match Ip address 102
  Router(Config-route-map)>set ip next-hop 电信网关   网通网关
  Router(Config)>Ip Route 0.0.0.0 0.0.0.0 电信网关
  Router(Config)>Ip Route 0.0.0.0 0.0.0.0 网通网关
  (注意   PBR优先于路由,而源地址转换路由又优先于NAT,那PBR会比NAT先进行,所以首先因该是进行PBR把包分类,扔给2个出口,之后再做路由选择路由   是默认的没什么,之后就是NAT了,策略一看在2出口上收到的包分别进行自己的策略NAT,当回来的时候,2个出口上收到的包并不会进行源转换为什么?因  为DNAT优先于路由,SNAT比路由还慢,所以DNAT是最先进行的。还有match next hop   匹配多个下一跳是与的关系,也就是说要满足全部的match才会用动作,所以前面不能match多个nexthop,否则一定砸了,只能match一个   nexthop,当然set可以set多个。 )
  此策略路由和策略nat说明:目的地址为网通地址的包全部发给网通网关,其他一律发给电信,由于网通地址段较少,所以选择了做网通的acl条目,减轻工作 量。
  说明:策略nat部分也可以用match acl的方式,但是发现实际速度很慢,不知道原因,可能是需要逐条匹配吧。但是最好用match   interface的方式,因为只有这样才能实现备份,如果接口down掉,就不会在match接口,但是如果用acl,则会因为永远match而pat     成已经down掉接口的地址,但是路由会从另一接口走掉,同样很慢了就。地址段在今后逐渐补全。trace分析表明:基本上包都走对路了。而且速度比原来  单接口时访问其他isp网明显加快了。经典之处:next-hop 的顺序

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.iyunv.com/thread-539328-1-1.html 上篇帖子: cisco路由器双线接入 下篇帖子: cisco利用校验值检查配置是否被改动
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表