当前位置:文档之家 › 校园网双出口组网案例

校园网双出口组网案例

  • 格式:doc
  • 大小:140.50 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

校园网双出口的设计与实现

校园网双出口的设计与实现

校园网双出口的设计与实现一、引言随着互联网在教育行业中的广泛应用,校园网络已经成为学校管理的一个重要方面。

校园网络的稳定性和性能往往决定了教学、科研和管理等方面的质量与效率。

而校园网双出口的设计与实现,则是提高校园网稳定性和性能的重要方法之一。

二、校园网双出口的概念校园网双出口是指在校园网络中设置两个出口,分别接入两个不同的互联网服务提供商(ISP)。

通过运用硬件设备,实现对网络流量的智能分流和负载均衡,以提高校园网的可用性和稳定性。

三、校园网双出口的优势1.提高可靠性:只要一台ISP连接出现问题,就可以通过另一台ISP提供的连接继续网络服务,从而保证服务的可靠性。

2.增加带宽:通过双出口的方式,可以将校园网的总带宽扩大到两个ISP提供的带宽之和,提高了网络的数据传输速度。

3.减轻网络负荷:通过智能分流和负载均衡,可将不同流量集中到对应的出口线路,并且可以根据网络流量的情况,动态调整负载均衡的策略,减轻网络负荷。

4.降低成本:通过双出口的方式,可以实现备份和对称的带宽对接,有效降低带宽成本。

四、校园网双出口的实现校园网双出口的实现需要通过网络设备来实现,常用的设备为防火墙和负载均衡器。

下面介绍防火墙和负载均衡器如何实现校园网双出口的设计。

1.防火墙:防火墙作为校园网络传输的重要安全设备,对网络安全和稳定性起着至关重要的作用,如何将它作为双出口实现的设备?可以采用双防火墙+VIP虚拟IP实现,流量首先通过不同ISP到达不同的防火墙,其中一台防火墙作为主要出口,而另一台防火墙作为备份出口。

当主要出口防火墙出现故障时,备份出口防火墙将流量转发给主要出口防火墙,从而保证网络服务的连续性。

2.负载均衡器:负载均衡器可以将流量同时转发到不同的出口线路,使得多个出口可以协同工作,共同宽带吞吐量和无故障时间,提高设备和网络的可用性和稳定性。

实现方式为:将负载均衡器和两个ISP的CPE连接,负载均衡器会根据设定的算法(如轮询、权重、连接数等)按比例把网络流量分配给不同的ISP出口,实现负载均衡和流量调度。

校园网双出口网络设计与实现

校园网双出口网络设计与实现

2 1 年 9月 00
浙江纺织服装职业技术学 院学报
第 3期第 7 5页
WwW、MAI 、F P NS等 服务器 。 L T 、D
4 )两条线路 能互为备份 ,能根据 2个 出口的带 宽速率 ,对线路负 载进 行均衡 ,保 证 2条 出 口线路都 能得到充分有效地利用 ,达到 既经 济又高速 的 目的 。
结合教 育网和本地 IP的特点 ,采用 双 出口互 S
联 网接入后 ,要达 到既能减少流经教育 网的国际流 量 ,降低 网络运行 费用 ,又可 以增加 网络 出 口备份 路 由的 目的 ,需解决 以下 问题: 1 )尽量 不修 改客户端 参数配 置 ,使得用 户机 器 能正常工作 。
2 校园网双 出口相 关技术
2I 网络 地 址 转 换 NA . T
NA T能够 使 内部 I 址经过路 由器连接到 I E N T 时转 化为路 由器 外网 口设置 的公网地址 ,是 P地 NT R E

种成熟 的技术方 案 。其解 决方法 是当内部计算机 与外 部 网络通 信时 ,将 内部网络 访 问量 也较 多, 大 部分 的流量是通过 电信 网出 口出去 的。仅 当用户 访
问 C R T免 费站 点时,网络出 口为 C R T E NE E NE 。 3 )校 园网 内外的用 户都 能快速访 问校 园 网的
图 1 校园网双出口线路图
收 稿 日期 :2 1 00— 0 3— 2 9 作者简介:陈丹儿,女,浙江纺织服装职业技术学院,讲师 ,硕士 ( 浙江 宁波 3 5 1) 12 1
的地址 ,让用 户能高速访 问到服务 。
3 方 案设计与实现
31 网络 地 址 转 换 NA . T
本校 申请 了充足 的教育 网 I 址 ,在 内部校 园网主机访 问 C R E 时不需要 做 NA ,而 申请 的电 P地 ENT T 信公网 I P地址有 限,因此 ,需在 电信 网出口做 N T,将 内部 C R T主机 请求包 的源地 址映射 为电信 A E NE 网提供 的地址 ,这样请求包 就能够 以电信合法 的地址身份通 过 电信 网去请求服 务,而应答包 也会顺利 成 章 的从 电信 出口进入 校 园网相应 主机请求 ,建立 连接实现通信 。具体配置 如下:

高校校园网出口解决方案最佳实践

高校校园网出口解决方案最佳实践

高校校园网出口解决方案最佳实践 - 华南农业大学展示^锐捷公司项目展示~不为参赛~只想展示1.2.1 项目背景2007年,锐捷网络携手华南农业大学,进行了万兆校园网升级改造:图1-1 华南农业大学全网拓扑图•骨干网升级为10G网络。

学校任何重要区域到服务区群和出口路由器均为万兆链路;•多核心、圆锥形骨干网设计。

学校任何重要区域到服务器群和出口均只有1跳路由;•四层架构,区域汇聚双归属设计。

从架构上充分保证网络稳定可靠;•全网的统一身份认证。

基于SAM系统的用户管理,以及符合学校特色的大量二次开发。

在骨干网络改造中,华山、东区、五组团三个区域增加了三台核心交换机RG-S8610,组成万兆环网,承担华南农业大学核心网,同时三台核心交换机与出口路由器Cisco C7606组成圆锥形的网络框架,万兆骨干数据流积聚于出口路由器。

万兆骨干的升级,使得校内流量剧增,校内带宽瓶颈得到很好的解决,同时也给出口网络带来了新的调整。

华南农业大学校园网共有信息点将近40000个,如此密集的信息点,对华南农大的出口形成了强大的冲击。

出口带宽利用率接近100%,出口带宽极其紧张(华南农业大学2007年的出口线路情况是:教育网1000M、电信100M),师生普遍反映Internet访问常有缓慢现象,影响了办公、教学、生活的网上应用开展。

1.2.2 项目目标提升出口NAT地址转换性能♦电信广域网带宽升级到300M;♦教育网链路升级为10G链路,动态带宽最高为1.5G。

准确分析出口应用带宽占比♦多少用户在使用哪些应用;♦每种应用占用了多少带宽资源。

精细管控出口应用带宽♦保证教学、办公、科研的关键应用;♦分时段限制P2P应用流量。

访问日志记录♦08奥运将至,公安部要求对所有校内用户访问校外进行行为记录,因此需要有一套高效的日志管理系统对出口设备的NAT日志进行收集,通过图形化查询界面快速查找相关日志信息。

2 案例分析该章节主要可从网络现状、业务现状、问题或需求等多个角度去分析,是对上一章案例概述的详细分析。

基于策略路由的双出口校园网

基于策略路由的双出口校园网

第29卷 第4期河北理工大学学报(自然科学版)Vol129 No14 2007年11月J ourna l of Hebe i Polytechn ic Un i ver sity(Na tur a l Science Edition)Nov.2007文章编号:1674-0262(2007)04-0114-03基于策略路由的双出口校园网李伟,吴涛,马军,贾成会(河北理工大学网络中心,河北唐山063009)关键词:策略路由;网络地址转换;访问控制摘 要:提出了一个校园网双出口的解决方案,详细阐述了其采用静态路由、网络地址转换和策略路由等关键技术设计和实现的过程。

中图分类号:TP393118 文献标识码:A0 引言校园网是高校信息化建设的基础设施,随着教育信息化建设的不断发展,如网上招生、远程教学和在线考试等网络教育实践活动的开展,各高校对校园网的应用也越来越广泛,同时对网络速度和网络稳定性的需求也越来越高。

但是受各种条件的限制,大部分高校校园网接入教育科研网的出口带宽较窄,访问公众网的速率很慢。

即便有些高校接入教育网的速率相对较高,但访问CERNET免费地址以外的资源时,要支付高昂的费用。

于是许多高校便采取同时接入CERNET和CH I NANET的方式以提高校园网访问速度和降低网络使用费用,这样同时具有CERNET和CH I NA NET两个出口的双出口校园网便应运而生。

因此,如何充分利用CERNET分配的I P地址资源和CH I NA N ET的高速出口带宽资源,作到最好的资源整合成为了必须解决的问题。

1 问题的分析和提出结合教育网和本地I SP的特点,考虑同时接入CERNET和CH I NANET,既能实现高速接入,有效减少流经教育网的国际流量,降低网络运行费用,又可以增加网络出口备份路由,避免由单一网络出口线路连接故障而造成的网络出口的中断,我们需要解决以下问题(1)所有服务器如WWW、FTP、S MTP以及DNS等都能被外部网络正常访问;(2)根据两出口的带宽速率,对线路负载进行均衡,保证两条出口线路都能得到充分有效的利用,以此达到既经济又高速的目的;(3)保证内部网络计算机具有合法的访问CH I N ANET的有效I P地址;(4)尽量保证国际流量流经本地I SP线路出口,以节约国际流量费用;对CERN ET及其联网单位的访问尽量经CERNET线路出口,以保证对教育科研单位的访问速率。

基于校园网的双出口边界网的路由规划

基于校园网的双出口边界网的路由规划

图 1 带双出 口的边界 网络拓扑图
CRE E N T链 路 出 , 则 从 C N E 否 HI AN T链 路 出 。 为 了监 管 好 校 园 网 内 的信 息 来 源 . C R E 为 E N T的健
由 汇 聚 路 由器 、 T设 备 和 边 界 路 由器 构 成 .设 置 有 NA CRE E N T出 口链 路 和 C NA E HI N T出 V 链 路 其 基 本 的 访 I
网络 建设
《 中国教 育信息化 》 编辑部 :/ rs r
这 里 提 到 的 备 案 服 务 器 就 是 由用 户 申请 、 主管 部 门批 准
后 . 了相 应 登记 的服 务 器 . 做
链路上是不可路由的 . 只能 从 C RN T出 口链 路 转 发 出 E E 去 显 然 , 源地 址 是 私 有地 址 的 , 论 在 哪条 出 口链路 上 不 都 是 不 可 路 由的 可 见 . 置 了 C RN T地 址 或 私有 地 配 E E 址 的 客户 机 可 以访 问 校 园 网 内部 , 要访 问外 网 . 能还 但 可 要 通 过 N T设 备 处理 A
便 地访 问所需 的资 源 在 校 园 网 中配 置 了 双 出 口边 界 网 后 .增 加 了网 络 的
则 在 C R T 链 E NE 路 进 行 . 否 则 在
C N E HI AN T链 路 进
行 :所 有 由校 冈 网 内部 主 动 发 起 的 访
复 杂 度 为 此 . 在实 施 这种 方 案 前 . 该 对 这种 边 界 网的 应
《 中国教育信 息化 》 发行部 : 1 c y
网络建设
基 于校 园 网 的双 出 口边 界 网 的 路 由规 划

西藏大学校园网双出口的设计和实现

西藏大学校园网双出口的设计和实现
现对 用户 是透 明 的
收稿 日期 :0 O 1 一1 21 - O 3
第一作者简介 : 袁源( 9 1 , 汉族 , 1 8 一)男, 河南西平人, 西藏大学ห้องสมุดไป่ตู้代教育技术中心讲师 , 主要研 究方向为计算机 网络、 移动数
据库 。
— —
7 — 0 —
袁 源 , 宁 , 宝 坤 : 藏大 学 校 园 网双 出 口的设 计 和实 现 杨 安 西
网服务的国家骨干网, 有很多优秀的教育和科研资源 , 并且承担着 网上招生、 远程教学和在线考试等重要 任务 ,我 校 目前 很 多教 学 、科研 作都 离不 开 C R E 。但 由于西 藏特 殊 的地 理状 况 ,使 得 我校 接 人 E NT CR E E N T的通 信线路 一直 带宽 较低 且 费用 较 高 , 5 2 从 1K卫 星 、M D N到 15 D 目前 每年 的线 路 租 4 D 5 MS H,
( ①③ 西藏大学现代教 育技术 中心 西藏拉 萨 8 0 ② 电子科技 大学通信 学院 四川成都 6 0 5 ) 50 104
摘要 : 文章 分析 西藏 大 学校 园网的现状 和 问题 , 出一个教 育 网和公 网的双 出口解决 方案 , 阐述 了 提 并 其 采用 策略路 由、 网络地址 转换 等技 术的 实现过程 。
用 费超 百 万 , 15 的带 宽 已基 本饱 和 , 且 5M 如再 增加 到 C R E E N T接 人 线路 , 大 大增 加我 校 的经 费 负担 。 将
另外 , 由于 C R E E N T与 C IA E H N N T等电信运营商的互访带宽不足, 使得校 内用户访问公网上 的部分 资源 速度较慢 。 以上情况都限制 了我校校园网用户的发展和各类应用的开展 , 成为 目前迫切需要解决的问题。

开放大学校园网双出口的设计及实现


宽。 原有 单 一的教 育 网 出 口已不能 满足 , 通过 本地 网 络服 务 提供 商 ( P 开 辟第 二 出 口连 入互 联 网 。 为 I ) S 作
原有 出口链路的 补充 。这 是一个 较好 的解 决途径 , 既
2 Ci oCS 5 o内容 服 务 交 换 机 介 绍 s S1 0 e 1


收 稿 日期 :0 7 0 - 0 修 稿 日期 :0 7 1 -0 20 - 9 2 20 - 2 4

作 者简介 : 李社 宏( 6 一 , 河北肥 乡人 , 士 , 1 4 ) 男, 9 硕 副教授 , 究方 向为校 园网的规 划与 建设 、 研 网络安 全
● MD NC PT 瑚7 OE  ̄ U R - R E 1 2
口 11 2 2 0 .3 .4 通 过 光 纤 直 接 连 接 到 教 育 网 / f0 . 31 3 ) 2 5
度过慢的问题, 同时, 有效减少教育网的国际流量 , 降
低 网络运 行费用1 1 1 园网访 问公 网速度 慢 的问题 的 校
确 得到 了解 决 . 反过来公 网访 问校 园网慢 的问题仍 但
维普资讯

开放大 学校 园网双 出 口的设计 及 实现
李社宏 , 欧新 宇 , 刘 骞
( 云南广播 电视 大学 网络 中心 。 昆明 6 0 2 ) 5 2 3

要 :结合 远程教 育 的特定 需求 。 出基 于 cs 提 s内容 服务 交换机 的低 成本 校 园网双 出 口解 决 方案 以及 路 由策略 , 并在 实 际的 网络 建设 中得 到 了 实施 , 行效 果 良好 , 运 可为 开放 大学特 别是 广播 电视 大 学校 园网的建设提 供参 考和借 鉴。

校园网双出口策略路由实现链路备份解决方案

校园网双出口策略路由实现链路备份解决方案作者:刘胜珍姚志鸿杨威来源:《电脑知识与技术》2013年第17期摘要:随着高校网络的发展,所有院校的校园网在接入中国教育科研网(CERNET)的同时也租用如电信、联通、移动等网络的出口线路,以提高校园网用户的访问速度;在出口的配置上,如何做到两条链路互相备份是目前存在的问题;该文根据我校实际情况及NAQ的原理,在出口路由器上做策略路由,从而实现两条链路互相备份,保证了校园网络安全、稳定的运行。

关键词:双出口;策略路由;NAQ;链路备份中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)17-3939-021 校园网双出口原有设置及出现的问题我校校园网通过H3C—R6616路由器进行出口配置,网络出口有两条链路教育网和联通,由于教育网丢包现象严重,访问外网速度比较慢等原因,我校采取静态路由表和策略路由的方式进行分流,教育网所有免费的站点通过静态路由表走教育网出口,默认网关指向联通网关,所有外网和教育网收费站点通过默认网关出口,通过以上配置,校内用户访问外网速度明显加快。

2 H3C—R6616路由器具体的配置说明校园网的两个外网接口地址,192.168.1.254表示教育网出口地址,172.168.1.253表示联通出口地址。

2.1 H3C—R6616路由器配置2.2 遇到的问题通过以上设置,虽优化了我校的网络,对数据流量进行了有效的分流,但是目前出现的问题是,一旦联通线路出现故障,所有的外网基本都无法访问,无法做到双链路备份,如何解决当外部通信的其中一条线路断掉后能自动切换到另外一条线路,从而达到校园网的安全传输,是我校遇到的一个问题。

3 通过NQA配置,解决问题3.1 NQA的原理NQA(Network Quality Analyzer)网络质量分析是一种实时的网络性能探测和统计技术,可以对响应时间、网络抖动、丢包率等网络信息进行统计。

基于策略路由的双出口校园网的实现


校 园 网用 户访 问 INTERNET的 问题 。
关键 词 :策 略路 由 ;nat;校 园 网建设
中 图分类 号 :TP399
文 献标 识码 :A
文 章编 码 :1672—6251(2008)06一O114-03
The realization of to double exports cam pus network based on policy routing
维普资讯
《农业网络信  ̄.,552oo8年第 6期 网 络与 电子商 务/政务
基 于策 略路 由的双 出 口校 园网的实现
张其 梁
(哈尔 滨 医科 大学 网络 信 息 中心 ,黑龙 江 哈尔 滨 150081)
摘 要 :本 文 介绍 了基 于 策 略路 由的双 出 口校 园 网的 实现 ,理 论 联 系 实 际进 行 了分 析 、配置 ,较 好 地 解决 了混合 IP组 网的
辫 16
GE
图 1 哈 尔 滨 医 科 大 学 的 校 园 网 络 骨 干 拓0 作 者简 介 :张其 梁(1980一),男,助教 ,研 究方 向:网络通 信,信 息安 全 。

114 一
维普资讯
《农业网络信  ̄}2008年第6期 网络与电子商务/政务
NANET ;
f41尽 量 保 证 国 际 流 量 流 经 本 地 ISP线 路 出 口 , 以节 约 国际 流 量 费 用 :对 CERNET及 其 联 网 单
位 的 访 问尽 量 经 CERNET线 路 出 口 ,以 保 证 对 教 育 科 研 单 位 的访 问 速 率 。
为 了 解 决 上 述 问 题 .我 们 可 以 应 用 策 略 路 由 和 NAT地 址转 换 技 术 .当 CERNET地 址 的校 园 网用 户 访 问 CERNET免 费 地 址 时 直 接 走 CERNET 出 口 , 而 访 问其 他 地 址 时通 过 NAT把 地址 转 换 成 网通 地 址 然 后 走 网通 出 口。 私 有 地 址 的校 园 网用 户 访 问 CERNET免 费 地址 时 通过 NAT把 地 址 转 换 成 CERNET地 址 从 CER. NET出 口 出 去 .当 私 有 地 址 的 校 园 网用 户 访 问其 他 地 址 同 样 通 过 NAT把 地 址 转 换 成 网 通 地 址 然 后 走 网 通 出 口。

(国际贸易)校园网出口解决方案

(国际贸易)校园⽹出⼝解决⽅案校园出⼝设计解决⽅案项⽬⼩组:CRZ.FZU⼩组成员:詹长贵、陈志洲、荣融⽬录1. 校园⽹出⼝设计的重要性 (2)2 .当前校园⽹出⼝⾯临的挑战 (3)2.1多出⼝⽀持挑战 (3)2.2NAT性能挑战 (3)2.3安全防御挑战 (4)2.4流量控制挑战 (4)2.5内容审计挑战 (4)2.6⾼可靠挑战 (4)2.7扩展挑战 (4)3.选择的拓扑⽅案 (5)4. ⽅案分析 (5)4.1 双出⼝设计 (5)4.2 RSR-16E汇总出⼝数据 (6)4.3 ACE3000+NPE50的完美组合............................. 错误!未定义书签。

4.3.1 RG-ACE3000 (8)4.3.2NPE50 (11)5. 实现的技术 (15)5 .1 NAT技术 (15)5.2 PPTP VPN技术 (15)5.3策略路由技术 (16)5.4IPv6 over GRE 隧道技术 (16)5.5访问控制技术 (17)7. 产品的配件 (18)RSR-16E配件 (18)附件: (19)RSR-16E技术参数 (19)校园出⼝设计解决⽅案第⼀章校园⽹出⼝设计的重要性⽬前各⾼校对校园⽹的建设⾮常重视,⼤多数都建成了⼀个能满⾜数字、语⾳、图像等多媒体信息以及综合科研信息传输和处理需要的千兆以太综合数字⽹。

校园⽹⼤都采⽤了千兆以太⽹技术,百兆到桌⾯,⽹络结构为核⼼层、汇聚层和接⼊层三⼤部分。

随着各种⽹络教育实践活动的⼴泛开展,如⽹络办公、远程教学、科研⼯作、⽹上招⽣和在线培训考试等。

同时,校园⽹内部⽤户也需要对外⽹资源的访问。

出⼝,在世界数字化得今天,是我们通往世界的桥梁!第⼆章当前校园⽹出⼝⾯临的挑战2.1 多出⼝⽀持挑战当前⼤部分国内⾼校校园⽹出⼝都采⽤多出⼝的架构, 原因是:(1)提⾼访问不同⽹络资源的速度。

和电信、⽹通等运营商互联仅在北京、上海、⼴州三地有交换中⼼, 且带宽也不够⾼, 这就给教育⽹访问公⽹, 运营商⽹访问教育⽹带来瓶颈,需要采⽤多出⼝提⾼访问速度。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

校园网双出口组网案例VPC2:192.168.2.100GW:192.168.2.1VLAN2 VPC3:192.168.3.100GW:192.168.3.1VLAN3 SW2配置:SW2#vlan databaseSW2(vlan)#vtp transportSW2(vlan)#vtp tranSW2(vlan)#vtp transparentSW2(vlan)#vlan 2SW2(vlan)#vlan 3SW2(vlan)#exitSW2#config tSW2(config)#int vlan 2SW2(config-if)#ip add 192.168.2.1 255.255.255.0SW2(config-if)#no shutSW2(config-if)#int vlan 3SW2(config-if)#ip add 192.168.3.1 255.255.255.0SW2(config-if)#exitSW2(config)#int f1/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 3SW2(config-if)#int f1/1SW2(config-if)#no switchportSW2(config-if)#ip add 192.168.1.2 255.255.255.252SW2(config-if)#no shutSW2(config-if)#exitSW2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1//缺省路由指向RTSW2(config)#ip route 192.168.0.0 255.255.0.0 null 0//黑洞路由,在RT1上配置了一条汇总路由指向SW2,为了防止路由环路。

TEL配置:Tel-Internet(config)#interface Loopback0Tel-Internet(config-if)#ip address 202.202.0.1 255.255.255.255Tel-Internet(config-if)#no shutTel-Internet(config)#interface FastEthernet1/0Tel-Internet(config-if)#ip address 222.222.222.1 255.255.255.252Tel-Internet(config-if)#no shutTel-Internet(config)#interface FastEthernet2/0Tel-Internet(config-if)#ip address 202.202.202.1 255.255.255.252Tel-Internet(config-if)#no shutTel-Internet(config)#ip route 200.200.0.0 255.255.0.0 222.222.222.2Tel-Internet(config)#ip route 202.202.0.0 255.255.0.0 Null0EDU配置Edu-Internet(config)#interface Loopback0Edu-Internet(config-if)#ip address 200.200.0.1 255.255.255.255Edu-Internet(config-if)#no shutEdu-Internet(config)#interface FastEthernet1/0Edu-Internet(config-if)#ip address 222.222.222.2 255.255.255.252Edu-Internet(config-if)#no shutEdu-Internet(config)#interface FastEthernet3/0Edu-Internet(config-if)#ip address 200.200.200.1 255.255.255.252Edu-Internet(config-if)#no shutEdu-Internet(config)#ip route 200.200.0.0 255.255.0.0 Null0Edu-Internet(config)#ip route 202.202.0.0 255.255.0.0 222.222.222.1RT1配置:RT1(config)#int f1/0RT1(config-if)#ip add 192.168.1.1 255.255.255.252RT1(config-if)#no shutRT1(config)#int f2/0RT1(config-if)#ip add 202.202.202.2 255.255.255.252RT1(config-if)#int f3/0RT1(config-if)#ip add 200.200.200.2 255.255.255.252RT1(config-if)#no shutRT1(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.2RT1(config)#ip route 0.0.0.0 0.0.0.0 202.202.202.1RT1(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.1 30//浮动静态路由实现主备,线路失效自动切换RT1(config)#access-list 10 permit 192.168.3.0 0.0.0.255//区分需要策略路由的流量RT1(config)#route-map 3 permit 10//建立route-mapRT1(config-route-map)#match ip address 10 //配置访问控制列表10RT1(config-route-map)#set ip next-hop 200.200.200.1//设置下一跳为200.200.200.1RT1(config-route-map)#exitRT1(config)#int f1/0RT1(config-if)#ip policy route-map 3//将策略路由绑定到F1/0测试下PC3 192.168.3.100ping 200.200.200.1在RT1上debug ip policy 10*Mar 1 00:39:03.815: IP: tableid=0, s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1 (FastEthernet3/0), routed via FIB*Mar 1 00:39:03.819: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1, len 84, policy match*Mar 1 00:39:03.823: IP: route map 3, item 10, permit*Mar 1 00:39:03.823: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1 (FastEthernet3/0), len 84, policy routed*Mar 1 00:39:03.827: IP: FastEthernet1/0 to FastEthernet3/0 200.200.200.1*Mar 1 00:39:03.827: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1 (FastEthernet3/0), g=200.200.200.1, len 84, forward策略路由生效了,正常流量应该从F2/0转发的,192.168.3.0实行了策略路由所以从F3/0转发了配置NAT(方法一)RT1(config)#access-list 101 permit ip 192.168.0.0 0.0.255.255 any//定义需要NA T处理的流量RT1(config)#route-map TEL permit 10//建立route-map ,走电信的RT1(config-route-map)#match ip address 101//匹配流量RT1(config-route-map)#match interface f2/0//匹配出接口RT1(config-route-map)#exitRT1(config)#route-map EDU permit 10//建立route-map ,走教育网的RT1(config-route-map)#match ip address 101//匹配流量RT1(config-route-map)#match interface f3/0//匹配出接口RT1(config)#int f1/0RT1(config-if)#ip nat insideRT1(config-if)#int f2/0RT1(config-if)#ip nat outsideRT1(config-if)#int f3/0RT1(config-if)#ip nat outsideRT1(config-if)#exitRT1(config)#ip nat inside source route-map TEL int f2/0 overload//走电信的转换成F2/0的IP RT1(config)#ip nat inside source route-map EDU int f3/0 overload//走教育网的转换成F3/0IP 测试下:VPCS 3 >ping 202.202.0.1202.202.0.1 icmp_seq=1 timeout202.202.0.1 icmp_seq=2 time=89.000 ms202.202.0.1 icmp_seq=3 time=117.000 ms202.202.0.1 icmp_seq=4 time=87.000 ms202.202.0.1 icmp_seq=5 time=70.000 msRT1(config)#do show ip nat trPro Inside global Inside local Outside local Outside globalicmp 200.200.200.2:11836 192.168.3.100:11836 202.202.0.1:11836 202.202.0.1:11836icmp 200.200.200.2:12092 192.168.3.100:12092 202.202.0.1:12092 202.202.0.1:12092icmp 200.200.200.2:12348 192.168.3.100:12348 202.202.0.1:12348 202.202.0.1:12348icmp 200.200.200.2:12604 192.168.3.100:12604 202.202.0.1:12604 202.202.0.1:12604icmp 200.200.200.2:12860 192.168.3.100:12860 202.202.0.1:12860 202.202.0.1:128601VPCS 2 >ping 200.200.0.1200.200.0.1 icmp_seq=1 timeout200.200.0.1 icmp_seq=2 time=118.000 ms200.200.0.1 icmp_seq=3 time=93.000 ms200.200.0.1 icmp_seq=4 time=66.000 ms200.200.0.1 icmp_seq=5 time=99.000 msRT1(config)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 202.202.202.2:31036 192.168.2.100:31036 200.200.0.1:31036 200.200.0.1:31036icmp 202.202.202.2:31292 192.168.2.100:31292 200.200.0.1:31292 200.200.0.1:31292icmp 202.202.202.2:31548 192.168.2.100:31548 200.200.0.1:31548 200.200.0.1:31548icmp 202.202.202.2:31804 192.168.2.100:31804 200.200.0.1:31804 200.200.0.1:31804icmp 202.202.202.2:32060 192.168.2.100:32060 200.200.0.1:32060 200.200.0.1:32060把去往电信的线路断了RT1(config-if)#do show ip int brInterface IP-Address OK? Method Status Protocol FastEthernet1/0 192.168.1.1 YES manual up upFastEthernet2/0 202.202.202.2 YES manual administratively down down FastEthernet3/0 200.200.200.2 YES manual up up VPCS 2 >ping 200.200.0.1200.200.0.1 icmp_seq=1 timeout200.200.0.1 icmp_seq=2 time=75.000 ms200.200.0.1 icmp_seq=3 time=18.000 ms200.200.0.1 icmp_seq=4 time=74.000 ms200.200.0.1 icmp_seq=5 time=28.000 msRT1(config-if)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 200.200.200.2:2642 192.168.2.100:2642 200.200.0.1:2642 200.200.0.1:2642icmp 200.200.200.2:2898 192.168.2.100:2898 200.200.0.1:2898 200.200.0.1:2898icmp 200.200.200.2:3154 192.168.2.100:3154 200.200.0.1:3154 200.200.0.1:3154icmp 200.200.200.2:3410 192.168.2.100:3410 200.200.0.1:3410 200.200.0.1:3410icmp 200.200.200.2:3666 192.168.2.100:3666 200.200.0.1:3666 200.200.0.1:3666把教育网的线路断了RT1(config-if)#do show ip int brInterface IP-Address OK? Method Status Protocol FastEthernet1/0 192.168.1.1 YES manual up up FastEthernet2/0 202.202.202.2 YES manual up up FastEthernet3/0 200.200.200.2 YES manual administratively down downicmp 202.202.202.2:8020 192.168.3.100:8020 200.200.0.1:8020 200.200.0.1:8020icmp 202.202.202.2:8276 192.168.3.100:8276 200.200.0.1:8276 200.200.0.1:8276icmp 202.202.202.2:8532 192.168.3.100:8532 200.200.0.1:8532 200.200.0.1:8532icmp 202.202.202.2:8788 192.168.3.100:8788 200.200.0.1:8788 200.200.0.1:8788icmp 202.202.202.2:9044 192.168.3.100:9044 200.200.0.1:9044 200.200.0.1:9044VPCS 3 >ping 200.200.0.1200.200.0.1 icmp_seq=1 time=64.000 ms200.200.0.1 icmp_seq=2 time=35.000 ms200.200.0.1 icmp_seq=3 time=126.000 ms200.200.0.1 icmp_seq=4 time=73.000 ms200.200.0.1 icmp_seq=5 time=104.000 ms192.168.2.0/24是走电信的吧,电信断了就走教育网192.168.3.0/24的,网段现走教育网了吧,教育网断了,就走电信了,成功了吧配置NAT(方法二)RT1(config)#access-list 101 permit ip 192.168.0.0 0.0.255.255 any//定义需要NA T处理的流量RT1(config)#access-list 1 permit host 202.202.202.1RT1(config)#access-list 2 permit host 200.200.200.1RT1(config)#route-map TEL permit 10//建立route-map ,走电信的RT1(config-route-map)#match ip address 101//匹配流量RT1(config-route-map)#match ip next-hop 1//匹配下一跳RT1(config-route-map)#exitRT1(config)#route-map EDU permit 10//建立route-map ,走教育网的RT1(config-route-map)#match ip address 101//匹配流量RT1(config-route-map)#match ip next-hop 2//匹配下一跳RT1(config)#int f1/0RT1(config-if)#ip nat insideRT1(config-if)#int f2/0RT1(config-if)#ip nat outsideRT1(config-if)#int f3/0RT1(config-if)#ip nat outsideRT1(config-if)#exitRT1(config)#ip nat inside source route-map TEL int f2/0 overload//走电信的转换成F2/0的IP RT1(config)#ip nat inside source route-map EDU int f3/0 overload//走教育网的转换成F3/0IP思考:1.如果我现在用PC2 ping200.200.200.1,它会走哪边呢?2.如果教育网的200.200.200.1断了,PC3还能上网吗?分析:1.VPCS 2 >ping 200.200.200.1200.200.200.1 icmp_seq=1 time=104.000 ms200.200.200.1 icmp_seq=2 time=61.000 ms200.200.200.1 icmp_seq=3 time=83.000 ms200.200.200.1 icmp_seq=4 time=68.000 ms200.200.200.1 icmp_seq=5 time=71.000 msRT1(config)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 200.200.200.2:47932 192.168.2.100:47932 200.200.200.1:47932 200.200.200.1:47932 icmp 200.200.200.2:48188 192.168.2.100:48188 200.200.200.1:48188 200.200.200.1:48188 icmp 200.200.200.2:48444 192.168.2.100:48444 200.200.200.1:48444 200.200.200.1:48444 icmp 200.200.200.2:48700 192.168.2.100:48700 200.200.200.1:48700 200.200.200.1:48700 icmp 200.200.200.2:48956 192.168.2.100:48956 200.200.200.1:48956 200.200.200.1:48956怎么不是202.202.202.1呢?查看一下路由表:C 200.200.200.0/30 is directly connected, FastEthernet3/0202.202.202.0/30 is subnetted, 1 subnetsC 202.202.202.0 is directly connected, FastEthernet2/0192.168.1.0/30 is subnetted, 1 subnetsC 192.168.1.0 is directly connected, FastEthernet1/0S* 0.0.0.0/0 [1/0] via 202.202.202.1S 192.168.0.0/16 [1/0] via 192.168.1.2这里有一条200.200.200.0的直连路由要优于缺省路由吧,所以它的出接口变成了F3/0,NAT 也转换成了200.200.200.2了!解决方法:配置ip route 200.200.200.1 255.255.255.255 202.202.202.1的主机路由C 200.200.200.0/30 is directly connected, FastEthernet3/0S 200.200.200.1/32 [1/0] via 202.202.202.1202.202.202.0/30 is subnetted, 1 subnetsC 202.202.202.0 is directly connected, FastEthernet2/0192.168.1.0/30 is subnetted, 1 subnetsC 192.168.1.0 is directly connected, FastEthernet1/0S* 0.0.0.0/0 [1/0] via 202.202.202.1S 192.168.0.0/16 [1/0] via 192.168.1.2再来PING一下,看NA T表:VPCS 2 >ping 200.200.200.1200.200.200.1 icmp_seq=1 time=138.000 ms200.200.200.1 icmp_seq=2 time=72.000 ms200.200.200.1 icmp_seq=3 time=64.000 ms200.200.200.1 icmp_seq=4 time=58.000 ms200.200.200.1 icmp_seq=5 time=59.000 msRT1(config)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 202.202.202.2:10813 192.168.2.100:10813 200.200.200.1:10813 200.200.200.1:10813 icmp 202.202.202.2:11069 192.168.2.100:11069 200.200.200.1:11069 200.200.200.1:11069 icmp 202.202.202.2:11325 192.168.2.100:11325 200.200.200.1:11325 200.200.200.1:11325 icmp 202.202.202.2:11581 192.168.2.100:11581 200.200.200.1:11581 200.200.200.1:11581 icmp 202.202.202.2:11837 192.168.2.100:11837 200.200.200.1:11837 200.200.200.1:11837现在可以了吧,这是因为主机路由优于任何一条路由分析2:把200.200.200.1给DOWN了Edu-Internet(config)#int f3/0Edu-Internet(config-if)#shutEdu-Internet(config)#do show ip int brInterface IP-Address OK? Method Status Protocol FastEthernet1/0 222.222.222.2 YES NVRAM up up FastEthernet3/0 200.200.200.1 YES NVRAM administratively down down Loopback0 200.200.0.1 YES NVRAM up up VPCS 3 >ping 200.200.0.1200.200.0.1 icmp_seq=1 timeout200.200.0.1 icmp_seq=2 timeout200.200.0.1 icmp_seq=3 timeout200.200.0.1 icmp_seq=4 timeout200.200.0.1 icmp_seq=5 timeout超时这不失去主策略路由的意义了,不能上网了,怎么办*Mar 1 00:59:29.363: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.0.1, len 84, policy match*Mar 1 00:59:29.367: IP: route map 3, item 10, permit*Mar 1 00:59:29.367: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.0.1 (FastEthernet3/0), len 84, policy routed*Mar 1 00:59:29.371: IP: FastEthernet1/0 to FastEthernet3/0 200.200.200.1*Mar 1 00:59:29.375: IP: s=200.200.200.2 (FastEthernet1/0), d=200.200.0.1 (FastEthernet3/0),g=200.200.200.1, len 84, forwardRT1(config)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 200.200.200.2:28478 192.168.3.100:28478 200.200.0.1:28478 200.200.0.1:28478icmp 200.200.200.2:28734 192.168.3.100:28734 200.200.0.1:28734 200.200.0.1:28734icmp 200.200.200.2:28990 192.168.3.100:28990 200.200.0.1:28990 200.200.0.1:28990icmp 200.200.200.2:29246 192.168.3.100:29246 200.200.0.1:29246 200.200.0.1:29246从上面可以看得出策略路由依然把192.168.3.0的网段转交给了F3/0,它不知道下一跳不可达解决方法:RT1(config)#route-map 3 permit 10RT1(config-route-map)#set ip next-hop verify-availability在原来的策略路由上再加一条SET语句,就是用来验证下一跳是否有效,失效时,策略路由将被拒绝!很有用的!VPCS 3 >ping 200.200.0.1200.200.0.1 icmp_seq=1 timeout200.200.0.1 icmp_seq=2 time=85.000 ms200.200.0.1 icmp_seq=3 time=53.000 ms200.200.0.1 icmp_seq=4 time=52.000 ms200.200.0.1 icmp_seq=5 time=65.000 ms*Mar 1 01:02:22.599: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.0.1, len 84, policy match*Mar 1 01:02:22.603: IP: route map 3, item 10, permit*Mar 1 01:02:22.603: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.0.1 (FastEthernet2/0), len 84, policy rejected -- normal forwarding*Mar 1 01:02:22.611: IP: s=202.202.202.2 (FastEthernet1/0), d=200.200.0.1 (FastEthernet2/0),g=202.202.202.1, len 84, forwardRT1(config-route-map)#do show ip nat tPro Inside global Inside local Outside local Outside globalicmp 202.202.202.2:7231 192.168.3.100:7231 200.200.0.1:7231 200.200.0.1:7231icmp 202.202.202.2:7487 192.168.3.100:7487 200.200.0.1:7487 200.200.0.1:7487icmp 202.202.202.2:7743 192.168.3.100:7743 200.200.0.1:7743 200.200.0.1:7743icmp 202.202.202.2:7999 192.168.3.100:7999 200.200.0.1:7999 200.200.0.1:7999icmp 202.202.202.2:8255 192.168.3.100:8255 200.200.0.1:8255 200.200.0.1:8255现在策略路由被拒绝了吧,把它从F2/0转发出去了,这样就真正意义上主备了,至此大功告成啊!欢迎光临我的博客:凡人世界。