策略路由-雙鏈路負(fù)載_第1頁
策略路由-雙鏈路負(fù)載_第2頁
策略路由-雙鏈路負(fù)載_第3頁
策略路由-雙鏈路負(fù)載_第4頁
策略路由-雙鏈路負(fù)載_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、指定策略路由實(shí)現(xiàn)雙鏈路負(fù)載某公司原有一個(gè)外網(wǎng)接入線路,后來又申請(qǐng)了新的一條外網(wǎng)接入。使用單獨(dú)的線路進(jìn)行服務(wù) 器區(qū)域的外網(wǎng)接入,可以將內(nèi)部的服務(wù)器使用nat發(fā)布到公網(wǎng)上,保證服務(wù)器本身的部分 安全。另外,其它區(qū)域人員對(duì)于出口而言主要是對(duì)外訪問,而服務(wù)器區(qū)域過多的是被對(duì)內(nèi)訪 問。那么本質(zhì)上的將兩種應(yīng)用隔開,無論是做acl還是對(duì)于流量的負(fù)載均衡都有較大的益 處。f0/1接入的是原本的isp線路,網(wǎng)絡(luò)地址為:92/27新的isp線路接在了 f0/2上,網(wǎng)絡(luò)地址為:0/29配置如下:interface f 0/1ip address 218.247.1

2、42.194 24ip nat outsideinterface f 0/2ip address 2 48ip nat outsideinterface f 0/0ip address ip nat insideip policy route-map vfast /在此口(入口)應(yīng)用策略名為vfast的策略路由ip nat inside source list 1 interface fastethemet 0/1 overloadip nat inside source

3、statictcp0 80280 extendableip nat inside source statictcp0 21221 extendableip nat inside source statictcp0 80380 extendableip nat inside source statictcp0 21321 extendableip nat inside source statictcp172.16.

4、3.30 80480 extendableip nat inside source statictcp0 21421 extendable內(nèi)部員工上網(wǎng)可以做動(dòng)態(tài)翻譯,一勞永逸。服務(wù)器區(qū)域設(shè)備可以采用靜態(tài)的一對(duì)-翻譯,這樣只是把服務(wù)器需要用到的端口翻譯出去就可以了,此處我們以web服務(wù)器為例。ip route 218.24742.193ip route 21906.196.81access-list 1 permit 55ac

5、cess-list 1 permit 55access-list 1 permit 55access-list 2 permit 55route-map vfast permit 10 定義 route-map ,命名此策略名為 vfast,配置其 permit 序列 10 match ip address 1應(yīng)用acl-1中允許通過的網(wǎng)段地址set interface fastetherneto/1指定出口為 fastethetnet 0/1iroute-map vfast permi

6、t 20match ip address 2set interface fastetherneto/2交換機(jī)策略路由的應(yīng)用一、網(wǎng)絡(luò)拓?fù)滢k公網(wǎng)為172網(wǎng)段,其核心交換機(jī)為85-1,由ne-1做nat通過網(wǎng)通上internet;宿舍區(qū) 為10網(wǎng)段,其核心交換機(jī)為85-2,由ne-2做nat通過電信上internet。服務(wù)器放在s85-1 下,為172網(wǎng)段的地址,供宿舍區(qū)10網(wǎng)段主機(jī)訪問。二、應(yīng)用需求及實(shí)現(xiàn)分析應(yīng)用需求:由于網(wǎng)通和電信的出口均為百兆,而宿舍區(qū)用戶遠(yuǎn)遠(yuǎn)多于辦公區(qū)的用戶,要分流部分宿舍 區(qū)的用戶通過網(wǎng)通的出口上internet0實(shí)現(xiàn)分析:此需求看起來很簡(jiǎn)單,即通過策略路由,使部分用戶上網(wǎng)

7、的下一跳到s85-1上,通過ne-1 出去。但是仔細(xì)分析具體的實(shí)現(xiàn),還是有很多要考慮的地方。1. s8500 ±策略路由只能在入端口方向上做,這樣,要在特定網(wǎng)段的所有入端口應(yīng)用策略 路由。2. 應(yīng)用策略路由的流由acl來定義區(qū)分,此處aclrfl關(guān)鍵字源ip來定義。acl number 2000rule 0 permit ip source 10. 1. 1.0 55策略路由優(yōu)先級(jí)最高,如果定義上面的acl,當(dāng)10網(wǎng)段訪問10網(wǎng)段時(shí),將會(huì)先匹配策略 路由,從而下一跳到s85-1 ±,在s85-1上匹配路由,再回到s85-2上面,從而到達(dá)目的主 機(jī),這樣

8、來回就多了兩跳。3. 修改acl為禁止源ip為10網(wǎng)段,目的ip也為10網(wǎng)段的流應(yīng)用策略路由。ac 1 number 2000rule 0 deny ip source 10. 1. 1. 0 0. 255. 255. 255 destination 10. 0. 0. 0 0. 255. 255. 255 rule 1 permit ip source 10. 1. 1. 0 0. 255. 255. 255但是策略路由引用的acl規(guī)則不允許為deny0難道只能這樣,讓10網(wǎng)段訪問10網(wǎng)段的時(shí)候多走兩跳嗎?當(dāng)然不!三、解決方法s8500交換機(jī)的策略路由是由硬件來實(shí)現(xiàn)的,不然,對(duì)于s8500這

9、種逐包轉(zhuǎn)發(fā)的交換機(jī), 其cpu不可能處理如此大的轉(zhuǎn)發(fā)量。由于策略路由和下發(fā)的acl樣,由硬件處理,那就 有匹配順序的問題。如果讓源ip為10網(wǎng)段,冃的ip也為10網(wǎng)段數(shù)據(jù)先匹配其他的acl 轉(zhuǎn)發(fā)出去,而不匹配策略路由,那么就可以解決上面的問題。配置如下:編寫acl 3000,允許源ip10網(wǎng)段訪問目的ip10網(wǎng)段acl number 3000rule 0 permit ip source 10. 1. 1. 0 0. 255. 255. 255 destination 10. 0. 0. 0 0. 255. 255. 255 編寫acl2000,允許源ip10網(wǎng)段(做策略路由)ac1 numb

10、er 2000rule 0 perm it ip source 10. 1. 1. 0 0. 255.255.255在端口下發(fā)規(guī)則tnterface gigabitetherneto/1/4packet-filter inbound ip-group 3000traffic-rcdirect inbound ip-group 2000 ncxt-hop 0在端口下發(fā)規(guī)則吋要注意順序,對(duì)于s8500交換機(jī)的acl規(guī)則是先下發(fā)先匹配,所以此處必 須先下發(fā)acl 3000,再運(yùn)用策略路由。在端口 g0/l/4± 10. 1.1.0網(wǎng)段的主機(jī)訪問10網(wǎng)段 的主機(jī)時(shí),就會(huì)先匹配

11、acl3000,而acl3000的規(guī)則為permit,這樣就正常的查找路由表來 轉(zhuǎn)發(fā)。而目的ip不是10網(wǎng)段時(shí),就會(huì)匹配上策略路由,從而下一跳到s85-1上。cisco 3640策略路由配置3640#show runcurrent configurtition:1version 12.0service timesltimps debug uptimeservice timestamps log uptimeno service password-encryptionhostname 3640iiip subnet-zero<br>!interface ethernet0/0ip a

12、ddress 172. 16. 0. 1 255. 255. 255. 0no ip redirectsno ip directcd-broadcaststandby 1 priority 120 preempt /*雙機(jī)熱備配置*/standby 1 ip 172. 16. 0. 100standby 1 track serial0/0 50/*雙機(jī)熱備配置*/interface serial0/0ip address 10. 10. 10. 1 255. 255. 255. 0no ip directcd-broadcastencapsulation pppno ip mroute-cac

13、heno fair-queueinterface serial0/lip address 10. 10. 10. 10 255. 255. 255. 0no ip directed-broadcastencapsulation pppno ip mroute-cacheno fair-queueinterface seriall/0no ip addressno ip directed-broadcastshutdown1interfcice sericil 1/1no ip addressno ip directed-broadcastshutdowniinterface serial 1/

14、2no ip addressno ip directed-broadcastshutdownpriority-group 5 /*cq 5 配置應(yīng)用*/ cq:定制隊(duì)列1interface serial 1/3no ip tiddressno ip directed-broadcastshutdownpriority-group 2 /*pq 2配置應(yīng)用*/ pq:優(yōu)先級(jí)隊(duì)列1interface serial3/0no ip addressno ip directed-broadcastip policy route-map mail /*策略路由 ma訂應(yīng)用*/shutdowniinterf

15、ace serial3/1no ip addressno ip directed-broadcastip route-cache policy/*啟動(dòng)策略路由mytest的快速轉(zhuǎn)發(fā)*/ip pol icy route-map mytest /*策略路由 mytest 應(yīng)用*/shutdownno fair-queueinterface serial3/2no ip addressno ip directed-broadcastshutdowniinterface serial3/3no ip addressno ip directed-broadcastshutdownirouter eigr

16、p 200redistribute rip metric 100000 100 255 1 1500 /*rip 路由重分發(fā)*/network 192. 1 & 0. 01router eigrp 100passive-interface serial3/2 /*在 serial3/2 端口抑制路由更新*/network 10. 0. 0. 0distribute-list 6 out/*過濾外向的更新只包括除10. 20. 0. 0 z外的所有路由*/distribute-list 5 in/*過濾傳入的路由更新,只包括192. 16&1.0路由*/distance 100

17、192. 168. 3. 0 0. 0. 0. 255/*把 e1grp 的管理距離調(diào)整至 100*/irouter ospf 200redistribute rip metric 10 subnets/*rip 路由重分發(fā)(包括子網(wǎng)),度量值為 10*/redistribute eigrp 200 metric 5 subnets/*eigrp 路由重分發(fā)(包括子網(wǎng)),度量值為 5*/network 172. 0. 0. 0 0. 255. 255. 255 area 0irouter ripredistribute eigrp 101/*e1grp 路由重分發(fā)*/network 10. 0

18、. 0. 0network 192. 172. 1. 0default-metric 5/*給 eigrp 默認(rèn)度量值 5*/1ip classlessip route 0. 0. 0. 0 0. 0. 0. 0 10. 10. 10. 2ip route 0. 0. 0. 0 0. 0. 0. 0 10. 10. 10. 3no ip http server1access-list 1 permit 67 2. 21. 5access-list 5 permit access-list 6 deny 10. 20. 0. 0ciccess-1 ist access-li

19、st access-list access-list queue-list queue-list queue-list queue-1ist queue-list queue-1ist5555556 permit ciny101 permi t tcp 101 permit tcp 120 permit tcp protocol ip 1 protocol ip 2 default queue 1 queue 2 queue 3priority-list 優(yōu)先級(jí)隊(duì)列*/ priority-list priori ty-1ist2 protocolanyanyanytcptcpany eq any eq any eq www smtppop3smtptelnet#cq 5的配置# /*http流量分配到隊(duì)列1*/*shtp流屋分配到隊(duì)列2*/*其它ip流量分配到隊(duì)列3*/byte-count 4500/*隊(duì)列 1 的帶寬為 30%*/byte-count 1500/*隊(duì)列 2 的帶寬為 10%*/byte-count 9000 #cq 5的配置#/*隊(duì)列3的帶寬為60%*/ip high list 1 #pq 2 的配置# /*來ft 67.2.

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論