十一期間接到乙個朋友的**,要我幫個小忙。將他們公司的伺服器區域使用新從
isp申請下的公網位址進行資料傳輸。
使用單獨的線路進行伺服器區域的外網接入,可以將內部的伺服器使用
nat發布到公網上,保證伺服器本身的部分安全。另外,其它區域人員對於出口而言主要是對外訪問,而伺服器區域過多的是被對內訪問。那麼本質上的將兩種應用隔開,無論是做
acl還是對於流量的負載均衡都有較大的益處。
拓撲結構如下
如拓撲圖所示,
f0/1
接入的是原本的
isp218.247.142.192/27
新的isp 線路接在了
f0/2
218.106.196.80/29
配置如下:
inte***ce f 0/1
ip address 218.247.142.194 255.255.255.224
ip nat outside
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
inte***ce f 0/2
ip address 219.106.196.82 255.255.255.248
ip nat outside
inte***ce f 0/0
ip address 172.16.0.1 255.255.0.0
ip nat inside
ip policy route-map vfast
// 在此口(入口)應用策略名為
vfast
的策略路由
ip nat inside source list 1 inte***ce fastethernet 0/1 overload
ip nat inside source static tcp 172.16.3.10 80 219.106.196.82 80 extendable
ip nat inside source static tcp 172.16.3.10 21 219.106.196.82 21 extendable
ip nat inside source static tcp 172.16.3.20 80 219.106.196.83 80 extendable
ip nat inside source static tcp 172.16.3.20 21 219.106.196.83 21 extendable
ip nat inside source static tcp 172.16.3.30 80 219.106.196.84 80 extendable
ip nat inside source static tcp 172.16.3.30 21 219.106.196.84 21 extendable
//內部員工上網可以做動態翻譯,一勞永逸。伺服器區域裝置可以採用靜態的一對一翻譯,這樣只是把伺服器需要用到的埠翻譯出去就可以了,此處我們以web伺服器為例。
ip route <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.0 0.0.0.0 218.247.142.193
ip route 0.0.0.0 0.0.0.0 219.106.196.81
access-list 1 permit 172.16.0.0 0.0.0.255
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 172.16.2.0 0.0.0.255
access-list 2 permit 172.16.3.0 0.0.0.255
route-map vfast permit 10
//
定義route-map
,命名此策略名為vfast
,配置其permit
序列10
match ip address 1
//
應用acl-1
中允許通過的網段位址
set inte***ce fastethernet0/1
//
指定出口為fastethetnet 0/1
! route-map vfast permit 20
match ip address 2
set inte***ce fastethernet0/2
!
路由策略與策略路由
一 路由策略。route policy 多個協議的相互操作 路由策略是通過修改路由表的路由條目來控制資料流量的可達性。即對接受和發布的路由進過濾。這種方式稱為路由策略。主要工具 重分布,標準的acl,字首列表,router policy,過濾策略,修改次優路由 1.重分布的場景 部署不同機構的合併 ...
路由策略和策略路由
策略路由pbr policy based routing 是一種依據使用者制定的策略進行路由選擇的機制。傳統的路由 原理是首先根據報文的目的位址查詢路由表,然後進行報文 但是目前越來越多的使用者希望能夠在傳統路由 的基礎上根據自己定義的策略進行報文 和選路。策略路由具有如下優點 路由策略是為了改變網...
路由策略和策略路由
什麼是路由策略?路由策略是控制層面的行為,操作的物件是路由條目,匹配的是路由,具體是指目標網段 掩碼 下一跳 度量值 tag community等。路由策略是為了改變網路流量所經過的途徑而修改路由資訊的技術,主要通過改變路由屬性 包括可達性 來實現。什麼是策略路由?策略路由 policy based...