用route-map進(jìn)行雙ISP接入,完美實(shí)現(xiàn)負(fù)載負(fù)載均衡相互備份和策略路由

1、用route-map進(jìn)行雙ISP接入，完美實(shí)現(xiàn)負(fù)載負(fù)載均衡相互備份和策略路由(原創(chuàng))在本人上一篇文章用route-map進(jìn)行雙ISP接入，并實(shí)現(xiàn)負(fù)載負(fù)載均衡相互備份和策略路由里，其中有一點(diǎn)點(diǎn)不是非常完美的地方，當(dāng)網(wǎng)關(guān)路由器接口出現(xiàn)問(wèn)題可以正常切換，但是如果是ISP出現(xiàn)了問(wèn)題，則會(huì)出現(xiàn)不能切換問(wèn)題，要解決這個(gè)問(wèn)題，我們需要利用思科ip sla工具才解決，ip sla簡(jiǎn)單工作原理就是利用某種協(xié)議測(cè)試對(duì)方網(wǎng)絡(luò)設(shè)備的連通性，最常見(jiàn)是icmp協(xié)議，如果對(duì)方設(shè)備響應(yīng)表示線(xiàn)路正常，路由生效，如果對(duì)方設(shè)備不響應(yīng)表示線(xiàn)路不正常，路由失效。為了保證園區(qū)或企業(yè)內(nèi)部連接到Internet網(wǎng)絡(luò)的高可用性，通常我們會(huì)使用

2、雙線(xiàn)接入（比如：電信，網(wǎng)通兩個(gè)ISP提供的網(wǎng)絡(luò)）。并部署相關(guān)的策略，在一條線(xiàn)路失效后，能快速切換到另外一條可用線(xiàn)路。而且在雙線(xiàn)都正常使用時(shí)，實(shí)現(xiàn)負(fù)載均衡。根據(jù)目前來(lái)講，進(jìn)行策略路由方法大概有幾下幾種：一、根據(jù)源地址策略路由二、根據(jù)目的地址策略路由三、根據(jù)源端口策略路由四、根據(jù)目的端口策略路由在實(shí)際工作環(huán)境中，特別是網(wǎng)吧，一般采用兩條光纖接入，一條接電信光纖，一條接網(wǎng)通光纖，如采用方法一進(jìn)行策略路由，明顯有幾個(gè)不好的弊端，負(fù)載不均衡，有可能導(dǎo)致一條光纖負(fù)載大，一條負(fù)載小，還會(huì)導(dǎo)致訪(fǎng)問(wèn)網(wǎng)站（或游戲）的速度不理想，明明網(wǎng)游服務(wù)器在網(wǎng)通，可是數(shù)據(jù)包卻從電信光纖出口出去，導(dǎo)致訪(fǎng)問(wèn)速度下降。方法三和四都有

3、缺陷。只有方法二是工程中常用的方案，我們需要的是當(dāng)訪(fǎng)問(wèn)電信網(wǎng)站時(shí)從電信光纖接口出去，當(dāng)訪(fǎng)問(wèn)網(wǎng)通網(wǎng)站時(shí)從網(wǎng)通光纖接口出去，如果電信光纖接口出現(xiàn)問(wèn)題，就從網(wǎng)通光纖出口出去，反之溢然，達(dá)到一個(gè)備份效果。實(shí)驗(yàn)要求：一、內(nèi)網(wǎng)1和內(nèi)網(wǎng)2要訪(fǎng)問(wèn)電信網(wǎng)絡(luò)時(shí)，走電信出口（S1/0口），實(shí)現(xiàn)策略路由，提高網(wǎng)速。二、內(nèi)網(wǎng)1和內(nèi)網(wǎng)2要訪(fǎng)問(wèn)網(wǎng)通網(wǎng)絡(luò)時(shí)，走網(wǎng)通出口（S1/1口），實(shí)現(xiàn)策略路由，提高網(wǎng)速。三、當(dāng)電信光纖出現(xiàn)問(wèn)題時(shí)，內(nèi)網(wǎng)1和內(nèi)網(wǎng)2走網(wǎng)通出口，當(dāng)電信光纖恢復(fù)正常時(shí)，走電信出口，以達(dá)到備份的目的。四、當(dāng)網(wǎng)通光纖出現(xiàn)問(wèn)題時(shí)，內(nèi)網(wǎng)1和內(nèi)網(wǎng)2走電信出口，當(dāng)電信光纖恢復(fù)正常時(shí)，走網(wǎng)通出口，以達(dá)到備份的目的。網(wǎng)絡(luò)接口以及I

4、P地址配置具體看拓?fù)鋱D，Isp1路由器是用來(lái)模擬電信，環(huán)回口用來(lái)模擬網(wǎng)段，網(wǎng)段有：20.20.10.0 20.20.20.0 20.20.30.0共三個(gè)網(wǎng)段。Isp2路由器是用來(lái)模擬網(wǎng)通，環(huán)回口用來(lái)模擬網(wǎng)段，網(wǎng)段有：220.220.1.0 220.220.2.0 220.220.3.0共三個(gè)網(wǎng)段。下面開(kāi)始具體配置。ISP1（模擬電信路由器）配置：hostname isp1interface Loopback0ip address 20.20.10.1 255.255.255.0!interface Loopback1ip address 20.20.20.1 255.255.255.0!

5、60;        interface Loopback2ip address 20.20.30.1 255.255.255.0!interface Serial0/0ip address 100.100.100.2 255.255.255.0serial restart-delay 0!interface Serial0/1ip address 60.0.0.1 255.255.255.0serial restart-delay 0router bgp 1bgp log-neighbor-changesnetwork 20.20.10.0

6、mask 255.255.255.0network 20.20.20.0 mask 255.255.255.0network 20.20.30.0 mask 255.255.255.0network 60.0.0.0 mask 255.255.255.0network 100.100.100.0 mask 255.255.255.0neighbor 60.0.0.2 remote-as 2注：兩個(gè)ISP之間采用BGP路由，電信BGP自治系統(tǒng)號(hào)為1，環(huán)回口用來(lái)模擬電信的各個(gè)網(wǎng)段。ISP2（模擬電信路由器）配置：hostname isp2interface Loopback0ip address

7、220.220.1.1 255.255.255.0!interface Loopback1ip address 220.220.2.1 255.255.255.0!         interface Loopback2ip address 220.220.3.1 255.255.255.0!interface Serial0/0ip address 200.200.200.2 255.255.255.0serial restart-delay 0!interface Serial0/1ip address 60.0.0.2 255.

8、255.255.0serial restart-delay 0 router bgp 2bgp log-neighbor-changesnetwork 64.0.0.0 mask 255.255.255.0network 200.200.200.0network 220.220.1.0network 220.220.2.0network 220.220.3.0neighbor 60.0.0.1 remote-as 1注：兩個(gè)ISP之間采用BGP路由，網(wǎng)通BGP自治系統(tǒng)號(hào)為2，環(huán)回口用來(lái)模擬電信的各個(gè)網(wǎng)段。Lan1(內(nèi)網(wǎng)1)配置：hostname lan1interface Ether

9、net0/0ip address 192.168.1.2 255.255.255.0ip route 0.0.0.0 0.0.0.0 192.168.1.1Lan2(內(nèi)網(wǎng)2)配置：hostname lan1interface Ethernet0/0ip address 192.168.2.2 255.255.255.0ip route 0.0.0.0 0.0.0.0 192.168.2.1網(wǎng)關(guān)路由器基本配置：hostname natinterface Serial1/0ip address 100.100.100.1 255.255.255.0注：連接電信接口interface Serial1

10、/1ip address 200.200.200.1 255.255.255.0注：連接網(wǎng)通接口interface Ethernet2/0ip address 192.168.1.1 255.255.255.0注：連接內(nèi)網(wǎng)1接口interface Ethernet2/1ip address 192.168.2.1 255.255.255.0注：連接內(nèi)網(wǎng)2接口ip route 0.0.0.0 0.0.0.0 100.100.100.2ip route 0.0.0.0 0.0.0.0 200.200.200.2下面是關(guān)鍵配置：ip access-list extended isp1permit i

11、p any 20.20.10.0 0.0.0.255permit ip any 20.20.20.0 0.0.0.255permit ip any 20.20.30.0 0.0.0.255permit ip any 60.0.0.0 0.0.0.255permit ip any 100.100.100.0 0.0.0.255permit ip any 200.200.200.0 0.0.0.255注：名為ISP1的訪(fǎng)問(wèn)列表有兩個(gè)作用：一、把去往電信方向的網(wǎng)段挑選出來(lái)，等下NAT會(huì)調(diào)用，去往電信方向NAT就會(huì)轉(zhuǎn)換公網(wǎng)地址為100.100.100.1。二、策略路由時(shí)調(diào)用，去往電信方向，指出他的下一

12、跳是電信出口。ip access-list extended isp2permit ip any 220.220.1.0 0.0.0.255permit ip any 220.220.2.0 0.0.0.255permit ip any 220.220.3.0 0.0.0.255permit ip any 60.0.0.0 0.0.0.255permit ip any 100.100.100.0 0.0.0.255permit ip any 200.200.200.0 0.0.0.255注：名為ISP2的訪(fǎng)問(wèn)列表有兩個(gè)作用：一、把去往網(wǎng)通方向的網(wǎng)段挑選出來(lái)，等下NAT會(huì)調(diào)用，去往電信方向NAT

13、就會(huì)轉(zhuǎn)換公網(wǎng)地址為200.200.200.1。二、策略路由時(shí)調(diào)用，去往網(wǎng)通方向，指出他的下一跳是網(wǎng)通出口。Ip sla配置部分,ip sla主要用來(lái)判斷去往電信或網(wǎng)通的線(xiàn)路有沒(méi)有出現(xiàn)問(wèn)題，ip sla會(huì)每隔秒鐘去ping一下網(wǎng)關(guān)地址，如果發(fā)現(xiàn)ping不通，則判斷該線(xiàn)路有問(wèn)題，數(shù)據(jù)包就會(huì)另外一條線(xiàn)路出去，達(dá)到一種自動(dòng)切換的功能。ip sla 1icmp-echo 100.100.100.2 source-ip 100.100.100.1注：用網(wǎng)關(guān)路由器S1/0所在接口（電信接口）IP地址去ping其電信網(wǎng)關(guān)IP地址frequency 5注：ping的時(shí)間間隔為5秒鐘一次。ip sla sched

14、ule 1 life forever start-time now注：計(jì)劃調(diào)度時(shí)間為從現(xiàn)在開(kāi)始的每一天。ip sla 2icmp-echo 200.200.200.2 source-ip 200.200.200.1注：用網(wǎng)關(guān)路由器S1/1所在接口（網(wǎng)通接口）IP地址去ping其網(wǎng)通網(wǎng)關(guān)IP地址frequency 5注：ping的時(shí)間間隔為5秒鐘一次。ip sla schedule 2 life forever start-time now注：計(jì)劃調(diào)度時(shí)間為從現(xiàn)在開(kāi)始的每一天。track 1 rtr 1 reachability注：追蹤去往電信線(xiàn)路的可達(dá)性track 2 rtr 2 reacha

15、bility注：追蹤去往網(wǎng)通線(xiàn)路的可達(dá)性route-map load permit 10match ip address isp1set ip next-hop verify-availability 100.100.100.2 1 track 1set ip next-hop verify-availability 200.200.200.2 2 track 2注：策略路由名為load，track 1 匹配去往電信網(wǎng)段的，設(shè)置下一跳為電信網(wǎng)關(guān)并追蹤其可達(dá)性，如果可達(dá)，這條語(yǔ)句生效，不可達(dá)，則不生效，并執(zhí)行下一語(yǔ)句。Track 2設(shè)置下一跳為網(wǎng)通網(wǎng)關(guān)并追蹤其可達(dá)性，如果可達(dá)，這條語(yǔ)句生效，不可

16、達(dá)，則不生效，并執(zhí)行下一語(yǔ)句。注意編號(hào)的順號(hào)。route-map load permit 20match ip address isp2set ip next-hop verify-availability 200.200.200.2 1 track 2set ip next-hop verify-availability 100.100.100.2 2 track 1注： track 2 匹配去往網(wǎng)通網(wǎng)段的，設(shè)置下一跳為網(wǎng)通網(wǎng)關(guān)并追蹤其可達(dá)性，如果可達(dá)，這條語(yǔ)句生效，不可達(dá)，則不生效，并執(zhí)行下一語(yǔ)句。Track 1設(shè)置下一跳為電信網(wǎng)關(guān)并追蹤其可達(dá)性，如果可達(dá)，這條語(yǔ)句生效，不可達(dá)，則不生效，

17、并執(zhí)行下一語(yǔ)句。route-map load permit 30set ip next-hop verify-availability 100.100.100.2 1 track 1set ip next-hop verify-availability 200.200.200.2 2 track 2 注：這條語(yǔ)句可以不要，主要意思就是去往非電信和網(wǎng)通的數(shù)據(jù)包優(yōu)先從電信接口出去，如果線(xiàn)路有問(wèn)題，就從網(wǎng)通接口出去。route-map nat1 permit 10match ip address isp1match interface Serial1/0注：即要匹配去往電信的地址段，也要匹

18、配出口為S1/0口（電信出口）。同時(shí)滿(mǎn)足這兩個(gè)條件，就給它做nat轉(zhuǎn)換。route-map nat11 permit 10match ip address isp1match interface Serial1/1注：即要匹配去往電信的地址段，也要匹配出口為S1/1口（網(wǎng)通出口）。同時(shí)滿(mǎn)足這兩個(gè)條件，就給它做nat轉(zhuǎn)換。這條語(yǔ)句主要是做備份用的，當(dāng)s1/0口DOWN掉時(shí)，這里就只有s1/1口可以用。route-map nat2 permit 10match ip address isp2match interface Serial1/1注：即要匹配去往網(wǎng)通的地址段，也要匹配出口為S1/1口（網(wǎng)

19、通出口）。同時(shí)滿(mǎn)足這兩個(gè)條件，就給它做nat轉(zhuǎn)換。route-map nat22 permit 10match ip address isp2match interface Serial1/0注：即要匹配去往網(wǎng)通的地址段，也要匹配出口為S1/0口（電信出口）。同時(shí)滿(mǎn)足這兩個(gè)條件，就給它做nat轉(zhuǎn)換。這條語(yǔ)句主要是做備份用的，當(dāng)s1/1口DOWN掉時(shí)，這里就只有s1/0口可以用。route-map isp3 permit 10match ip address 1match interface Serial1/0注：如果要是訪(fǎng)問(wèn)即不是網(wǎng)通，也不是電信網(wǎng)段時(shí)， nat轉(zhuǎn)換接口為s1/0(電

20、信接口)。主語(yǔ)句，該語(yǔ)句可以不要。route-map isp33 permit 10match ip address 1match interface Serial1/1注：如果要是訪(fǎng)問(wèn)即不是網(wǎng)通，也不是電信網(wǎng)段時(shí)， nat轉(zhuǎn)換接口為s1/1(網(wǎng)通接口)，用來(lái)備份，默認(rèn)是從電信出去，如果電信DOWN掉，這里只有從s1/1地址轉(zhuǎn)換。該語(yǔ)句可以不要。interface Serial1/0ip nat outsideinterface Serial1/1ip nat outsideinterface Ethernet2/0ip nat insideip policy route-map l

21、oadinterface Ethernet2/1ip nat insideip policy route-map load注：在接口上應(yīng)用策略路由。ip nat inside source route-map nat1 interface Serial1/0 overload注：如果是去往電信網(wǎng)段，轉(zhuǎn)換出口為s1/0口（電信接口）,正常去往電信時(shí)就拿S1/0公網(wǎng)地址進(jìn)行轉(zhuǎn)換。ip nat inside source route-map nat11 interface Serial1/1 overload注：如果是去往電信網(wǎng)段，轉(zhuǎn)換出口為s1/1口（網(wǎng)通接口），作用就是當(dāng)去往電信網(wǎng)段主接口s1/

22、0 down掉，這時(shí)只有拿s1/1接口（網(wǎng)通接口）的公網(wǎng)地址進(jìn)行轉(zhuǎn)換。ip nat inside source route-map nat2 interface Serial1/1 overload注：如果是去往網(wǎng)通網(wǎng)段，轉(zhuǎn)換出口為s1/1口（網(wǎng)通接口）, 正常去往網(wǎng)通時(shí)就拿S0/1公網(wǎng)地址進(jìn)行轉(zhuǎn)換。ip nat inside source route-map nat22 interface Serial1/0 overload注：如果是去往網(wǎng)通網(wǎng)段，轉(zhuǎn)換出口為s1/0口（電信接口），作用就是當(dāng)去往網(wǎng)通網(wǎng)段主接口s1/1 down掉，這時(shí)只有拿s1/0接口（電信接口）的公網(wǎng)地址進(jìn)行轉(zhuǎn)

23、換。ip nat inside source route-map isp3 interface Serial1/0 overload注：如果訪(fǎng)問(wèn)的網(wǎng)段即不是電信，也不是網(wǎng)通，這時(shí)默認(rèn)拿S1/0電信接口的公網(wǎng)地址進(jìn)行轉(zhuǎn)換。該語(yǔ)句可以不要。ip nat inside source route-map ips33 interface Serial1/1 overload注：如果訪(fǎng)問(wèn)的網(wǎng)段即不是電信，也不是網(wǎng)通，而且S1/0電信接口又DOWN掉時(shí)，只有拿S1/1網(wǎng)通接口的公網(wǎng)地址進(jìn)行轉(zhuǎn)換。該語(yǔ)句可以不要。打開(kāi)debug ip nat觀(guān)看nat轉(zhuǎn)換效果：先在內(nèi)網(wǎng)上ping電信的公網(wǎng)地址，可以看到，可以連

24、接。lan1#ping 20.20.20.1                                                        Type escape sequence to abort.Se

25、nding 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 12/40/64 mslan1#ping 20.20.10.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 20.20.10.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip

26、 min/avg/max = 8/24/44 mslan1#ping 20.20.30.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 20.20.30.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/23/44 m在網(wǎng)關(guān)上看一下nat有沒(méi)有正確轉(zhuǎn)換:01:25:47: NAT: s=192.168.1.2->100.100.100.1, d=20.20.20.1 30901:25:

27、47: NAT*: s=20.20.20.1, d=100.100.100.1->192.168.1.2 30901:25:47: NAT: s=192.168.1.2->100.100.100.1, d=20.20.20.1 31001:25:47: NAT*: s=20.20.20.1, d=100.100.100.1->192.168.1.2 31001:25:47: NAT: s=192.168.1.2->100.100.100.1, d=20.20.20.1 31101:25:47: NAT*: s=20.20.20.1, d=100.100.100.1-&g

28、t;192.168.1.2 31101:25:47: NAT: s=192.168.1.2->100.100.100.1, d=20.20.20.1 31201:25:47: NAT*: s=20.20.20.1, d=100.100.100.1->192.168.1.2 31201:25:47: NAT: s=192.168.1.2->100.100.100.1, d=20.20.20.1 31301:25:47: NAT*: s=20.20.20.1, d=100.100.100.1->192.168.1.2 313nat#01:25:52: NAT: s=192.

29、168.1.2->100.100.100.1, d=20.20.10.1 31401:25:52: NAT*: s=20.20.10.1, d=100.100.100.1->192.168.1.2 31401:25:52: NAT: s=192.168.1.2->100.100.100.1, d=20.20.10.1 31501:25:52: NAT*: s=20.20.10.1, d=100.100.100.1->192.168.1.2 31501:25:52: NAT: s=192.168.1.2->100.100.100.1, d=20.20.10.1 31

30、601:25:52: NAT*: s=20.20.10.1, d=100.100.100.1->192.168.1.2 31601:25:52: NAT: s=192.168.1.2->100.100.100.1, d=20.20.10.1 31701:25:52: NAT*: s=20.20.10.1, d=100.100.100.1->192.168.1.2 31701:25:52: NAT: s=192.168.1.2->100.100.100.1, d=20.20.10.1 31801:25:52: NAT*: s=20.20.10.1, d=100.100.1

31、00.1->192.168.1.2 318nat#01:25:56: NAT: s=192.168.1.2->100.100.100.1, d=20.20.30.1 31901:25:56: NAT*: s=20.20.30.1, d=100.100.100.1->192.168.1.2 31901:25:56: NAT: s=192.168.1.2->100.100.100.1, d=20.20.30.1 32001:25:56: NAT*: s=20.20.30.1, d=100.100.100.1->192.168.1.2 32001:25:56: NAT:

32、 s=192.168.1.2->100.100.100.1, d=20.20.30.1 32101:25:56: NAT*: s=20.20.30.1, d=100.100.100.1->192.168.1.2 32101:25:56: NAT: s=192.168.1.2->100.100.100.1, d=20.20.30.1 32201:25:56: NAT*: s=20.20.30.1, d=100.100.100.1->192.168.1.2 32201:25:56: NAT: s=192.168.1.2->100.100.100.1, d=20.20.

33、30.1 32301:25:56: NAT*: s=20.20.30.1, d=100.100.100.1->192.168.1.2 323可以看出，去往電信網(wǎng)段時(shí)，NAT拿100.100.100.1這個(gè)電信的公網(wǎng)地址來(lái)轉(zhuǎn)換，符合我們要求。下面在內(nèi)網(wǎng)去ping網(wǎng)通的網(wǎng)段：lan1#ping 220.220.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 220.220.1.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-

34、trip min/avg/max = 12/28/44 mslan1#ping 220.220.2.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 220.220.2.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/28/68 mslan1#ping 220.220.3.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echo

35、s to 220.220.3.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/46/64 ms可以連通。在網(wǎng)關(guān)看一下NAT轉(zhuǎn)換情況：01:29:16: NAT: s=192.168.1.2->200.200.200.1, d=220.220.1.1 32401:29:16: NAT*: s=220.220.1.1, d=200.200.200.1->192.168.1.2 32401:29:16: NAT: s=192.168.1.2->200.20

36、0.200.1, d=220.220.1.1 32501:29:16: NAT*: s=220.220.1.1, d=200.200.200.1->192.168.1.2 32501:29:16: NAT: s=192.168.1.2->200.200.200.1, d=220.220.1.1 32601:29:16: NAT*: s=220.220.1.1, d=200.200.200.1->192.168.1.2 32601:29:16: NAT: s=192.168.1.2->200.200.200.1, d=220.220.1.1 32701:29:16: NA

37、T*: s=220.220.1.1, d=200.200.200.1->192.168.1.2 32701:29:16: NAT: s=192.168.1.2->200.200.200.1, d=220.220.1.1 32801:29:16: NAT*: s=220.220.1.1, d=200.200.200.1->192.168.1.2 328nat#01:25:56: NAT*: s=20.20.30.1, d=100.100.100.1->192.168.1.2 32301:29:19: NAT: s=192.168.1.2->200.200.200.1

38、, d=220.220.2.1 32901:29:19: NAT*: s=220.220.2.1, d=200.200.200.1->192.168.1.2 32901:29:19: NAT: s=192.168.1.2->200.200.200.1, d=220.220.2.1 33001:29:19: NAT*: s=220.220.2.1, d=200.200.200.1->192.168.1.2 33001:29:19: NAT: s=192.168.1.2->200.200.200.1, d=220.220.2.1 33101:29:19: NAT*: s=2

39、20.220.2.1, d=200.200.200.1->192.168.1.2 33101:29:19: NAT: s=192.168.1.2->200.200.200.1, d=220.220.2.1 33201:29:19: NAT*: s=220.220.2.1, d=200.200.200.1->192.168.1.2 33201:29:19: NAT: s=192.168.1.2->200.200.200.1, d=220.220.2.1 33301:29:19: NAT*: s=220.220.2.1, d=200.200.200.1->192.16

40、8.1.2 333nat#01:25:56: NAT*: s=20.20.30.1, d=100.100.100.1->192.168.1.2 32301:29:21: NAT: s=192.168.1.2->200.200.200.1, d=220.220.3.1 33401:29:21: NAT*: s=220.220.3.1, d=200.200.200.1->192.168.1.2 33401:29:22: NAT: s=192.168.1.2->200.200.200.1, d=220.220.3.1 33501:29:22: NAT*: s=220.220.

41、3.1, d=200.200.200.1->192.168.1.2 33501:29:22: NAT: s=192.168.1.2->200.200.200.1, d=220.220.3.1 33601:29:22: NAT*: s=220.220.3.1, d=200.200.200.1->192.168.1.2 33601:29:22: NAT: s=192.168.1.2->200.200.200.1, d=220.220.3.1 33701:29:22: NAT*: s=220.220.3.1, d=200.200.200.1->192.168.1.2 3

42、3701:29:22: NAT: s=192.168.1.2->200.200.200.1, d=220.220.3.1 33801:29:22: NAT*: s=220.220.3.1, d=200.200.200.1->192.168.1.2 338可以看出，網(wǎng)關(guān)是拿網(wǎng)通接口的公網(wǎng)地址200.200.200.1拿進(jìn)行nat轉(zhuǎn)換的，符合我們的要求。在網(wǎng)關(guān)上看一下NAT轉(zhuǎn)換情況：01:37:10: NAT: s=192.168.1.2->100.100.100.1, d=6.6.6.6 35401:37:10: NAT*: s=6.6.6.6, d=100.100.100.1

43、->192.168.1.2 35401:37:10: NAT: s=192.168.1.2->100.100.100.1, d=6.6.6.6 35501:37:10: NAT: s=200.200.200.2, d=100.100.100.1->192.168.1.2 33901:37:10: NAT: s=192.168.1.2->100.100.100.1, d=6.6.6.6 35601:37:10: NAT*: s=6.6.6.6, d=100.100.100.1->192.168.1.2 35601:37:10: NAT: s=192.168.1.2-

44、>100.100.100.1, d=6.6.6.6 357去往非電信網(wǎng)通網(wǎng)段時(shí)，拿電信的公網(wǎng)地址進(jìn)行轉(zhuǎn)換。下面我們把isp1路由器的S0/0接口關(guān)閉。這里通往電信的線(xiàn)路將不可達(dá)。Isp1(config)#int s0/0Isp1(config-if)#shutdown回到NAT路由器上PING電信網(wǎng)關(guān)：nat#ping 100.100.100.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 100.100.100.2, timeout is 2 seconds:.Success rate is 0 perc

45、ent (0/5)發(fā)現(xiàn)不通，因?yàn)閕sp1把S0/0口DOWN掉了。回到內(nèi)網(wǎng)上在去ping電信網(wǎng)段，看一下情況會(huì)是怎樣。lan1#ping 20.20.10.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 20.20.10.1, timeout is 2 seconds:!.!Success rate is 80 percent (4/5), round-trip min/avg/max = 24/47/92 mslan1#ping 20.20.20.1 Type escape sequence to a

46、bort.Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/44/72 mslan1#ping 20.20.30.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 20.20.30.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), rou

47、nd-trip min/avg/max = 12/34/48 ms可以連通，因?yàn)閿?shù)據(jù)包從網(wǎng)關(guān)的S1/1接口出去了，電信線(xiàn)路不通，沒(méi)有對(duì)內(nèi)網(wǎng)產(chǎn)生影響。在網(wǎng)關(guān)上看一下NAT轉(zhuǎn)換情況：nat#01:42:01: NAT: s=192.168.1.2->200.200.200.1, d=20.20.10.1 37401:42:01: NAT*: s=20.20.10.1, d=200.200.200.1->192.168.1.2 37401:42:01: NAT: s=192.168.1.2->200.200.200.1, d=20.20.10.1 37501:42:01: NAT*

48、: s=20.20.10.1, d=200.200.200.1->192.168.1.2 37501:42:01: NAT: s=192.168.1.2->200.200.200.1, d=20.20.10.1 37601:42:01: NAT*: s=20.20.10.1, d=200.200.200.1->192.168.1.2 37601:42:01: NAT: s=192.168.1.2->200.200.200.1, d=20.20.10.1 37701:42:01: NAT*: s=20.20.10.1, d=200.200.200.1->192.16

49、8.1.2 37701:42:01: NAT: s=192.168.1.2->200.200.200.1, d=20.20.10.1 37801:42:01: NAT*: s=20.20.10.1, d=200.200.200.1->192.168.1.2 378nat#01:42:05: NAT: s=192.168.1.2->200.200.200.1, d=20.20.20.1 37901:42:05: NAT*: s=20.20.20.1, d=200.200.200.1->192.168.1.2 37901:42:05: NAT: s=192.168.1.2-

50、>200.200.200.1, d=20.20.20.1 38001:42:05: NAT*: s=20.20.20.1, d=200.200.200.1->192.168.1.2 38001:42:05: NAT: s=192.168.1.2->200.200.200.1, d=20.20.20.1 38101:42:05: NAT*: s=20.20.20.1, d=200.200.200.1->192.168.1.2 38101:42:05: NAT: s=192.168.1.2->200.200.200.1, d=20.20.20.1 38201:42:0

51、5: NAT*: s=20.20.20.1, d=200.200.200.1->192.168.1.2 38201:42:05: NAT: s=192.168.1.2->200.200.200.1, d=20.20.20.1 38301:42:05: NAT*: s=20.20.20.1, d=200.200.200.1->192.168.1.2 383nat#01:42:08: NAT: s=192.168.1.2->200.200.200.1, d=20.20.30.1 38401:42:08: NAT*: s=20.20.30.1, d=200.200.200.1

52、->192.168.1.2 38401:42:08: NAT: s=192.168.1.2->200.200.200.1, d=20.20.30.1 38501:42:08: NAT*: s=20.20.30.1, d=200.200.200.1->192.168.1.2 38501:42:08: NAT: s=192.168.1.2->200.200.200.1, d=20.20.30.1 38601:42:08: NAT*: s=20.20.30.1, d=200.200.200.1->192.168.1.2 38601:42:08: NAT: s=192.1

53、68.1.2->200.200.200.1, d=20.20.30.1 38701:42:08: NAT*: s=20.20.30.1, d=200.200.200.1->192.168.1.2 38701:42:08: NAT: s=192.168.1.2->200.200.200.1, d=20.20.30.1 38801:42:08: NAT*: s=20.20.30.1, d=200.200.200.1->192.168.1.2 388可以看到，當(dāng)去往電信網(wǎng)段不通時(shí)，這里會(huì)拿S1/1網(wǎng)通接口的公網(wǎng)IP200.200.200.1地址來(lái)進(jìn)行NAT轉(zhuǎn)換。下面回到isp

54、1路由器，把S0/0打開(kāi)Isp1(config)#int s0/0Isp1(config-if)#no shutdown在網(wǎng)關(guān)路由器看一下NAT轉(zhuǎn)換情況01:46:36: NAT: s=192.168.1.2->100.100.100.1, d=20.20.10.1 40901:46:36: NAT*: s=20.20.10.1, d=100.100.100.1->192.168.1.2 40901:46:36: NAT: s=192.168.1.2->100.100.100.1, d=20.20.10.1 41001:46:36: NAT*: s=20.20.10.1, d

55、=100.100.100.1->192.168.1.2 41001:46:36: NAT: s=192.168.1.2->100.100.100.1, d=20.20.10.1 41101:46:36: NAT*: s=20.20.10.1, d=100.100.100.1->192.168.1.2 41101:46:36: NAT: s=192.168.1.2->100.100.100.1, d=20.20.10.1 41201:46:36: NAT*: s=20.20.10.1, d=100.100.100.1->192.168.1.2 41201:46:36: NAT: s=192.168