锐捷双出口

 


电信地址池为58.246.2.1-58.246.2.10

教育网地址池为202.101.3.1-202.101.3.10

内部web服务器内部地址为172.16.1.1,映射成教育网地址为202.101.2.1

 

场景需求

p  1、内部宿舍区私有IP地址用户可以通过NPE访问公网,且访问电信资源走电信线路,访问教育网资源走教育网线路。

p  2、内部服务器网段172.16.0.0/16只走教育网线路,内部web服务器(172.16.1.1)对外提供web服务

p  3EG启用NAT日志功能,和elog对接,elog服务器地址为172.16.1.2

 

需求分析

1、内部宿舍区私有IP地址用户可以通过NPE的两条线路访问公网,且访问电信资源走电信线路,访问教育网资源走教育网线路。

分析:宿舍区私有IP地址用户通过NPE的两条线路都可以访问公网,需要在NPE上配置NAT,且电信和教育网都需要配置NAT,配置两个地址池,并匹配两个接口。

2、内部服务器网段172.16.0.0/16只走教育网线路,内部web服务器(172.16.1.1)对外提供web服务

分析:

1、要求内部服务器网段只走教育网线路,传统的基于目的路由的模式不能满足此需要,需要配置策略路由,匹配源地址来进行路由转发。

2、要求内部web服务器对外提供web服务,而内部web服务器是私网地址,因此需要做基于端口的NAT静态映射。

3NPE启用NAT日志功能,和Elog对接,elog服务器地址为172.16.1.2

分析:启用NAT日志功能,需要和Elog对接,因此需要配置和Elog对接的相关配置。

 

启用NPE的地址库功能,配置接口下的电信和教育网地址库,访问电信的资源走电信线路,匹配教育网的资源走教育网线路。

route-auto-choose cnii GigabitEthernet 0/1 58.246.1.1

route-auto-choose cernet GigabitEthernet 0/2 202.101.1.1

同时配置两条等价的缺省路由,不匹配电信和教育网地址库的,匹配两条等价缺省路由,自动负载到两条线路

ip route 0.0.0.0 0.0.0.0 58.246.1.1

ip route 0.0.0.0 0.0.0.0 202.101.1.1

 

 

ip route 10.0.0.0 255.0.0.0 1.1.1.2

ip route 172.16.0.0 255.255.0.0 1.1.1.2

ip route 192.168.0.0 255.255.0.0 1.1.1.2

 

 

从上图中数据流向可以看出,源地址为宿舍区私用地址10.0.0.0/8的网段,访问电信资源从NPE出去时需要做NAT,匹配电信的地址池;访问教育网资源从NPE出去时也需要做NAT,匹配教育网的地址池,否则私网地址在公网上无法路由,无法访问互联网。

   因此,我们需要配置两个地址池,并对应的匹配两个接口。

 

定义NAT设备的内外口

interface GigabitEthernet 0/0

ip nat inside

interface GigabitEthernet 0/1

 ip nat outside

interface GigabitEthernet 0/2

 ip nat outside

 

定义NAT地址池

ip nat pool sushe prefix-length 24

address 202.101.3.1 202.101.3.1 match interface gigabitEthernet 0/2

address 58.246.2.1 58.246.2.10 match interface gigabitEthernet 0/1

 

定义acl

Ruijie(config)#ip access-list standard 1

Ruijie(config-std-nacl)#permit any

 

定义转换关联

Ruijie(config)#ip nat inside source list 1 pool sushe overload

 

端口映射

 

ip nat inside source static tcp 172.16.1.1 80 202.101.2.1 80

 

从上图中可以看出:

若是教育网的用户发起到校内web服务器的访问,数据从web服务器返回,到达NPE的时候,NPE查找路由表,发现目的地址是教育网,从而从教育网线路出去,由于web服务器在教育网线路上做了NAT静态映射,因此数据可以正常返回,没有问题。

若是电信用户发起到校内web服务器的访问,因为web服务器映射出去的是教育网的,因此进来的数据会先绕到教育网线路,然后再从NPE进来,到达web服务器,数据从web服务器返回,到达NPE的时候,NPE超找路由表,发现目的地址是电信用户,应该从电信线路出去,但web服务器未在电信线路上做NAT静态映射,因此数据无法返回到电信用户。

   因此我们需要一种策略,来让web服务器的数据强制走教育网线路,这个策略就是---策略路由

 

定义重分布路由图

NPEconfig)# route-map server permit 10

 

定义路由图每个策略的匹配规则或条件

ip access-list standard 10

 10 permit 172.16.0.0 0.0.255.255

 

定义满足匹配规则后,路由器对符合规则的数据包进行IP优先值和下一跳的设置

NPEconfig)# route-map server permit 10

NPE(config-route-map)# match ip address 10

NPEconfig-route-map)# set ip  next-hop 202.101.1.1

 

 

在指定接口中应用路由图

interface GigabitEthernet 0/0

 ip policy route-map server

 

 

Elog服务器是用来存储和查询NPEnat日志的,NPE上的配置步骤如下:

 

打开流日志开关

ip session log-on

配置日志服务器

NPE(config)# rlog server  172.16.1.2

 

posted @ 2017-12-26 14:54  裴鹏飞  阅读(873)  评论(0编辑  收藏  举报