路由器双出口负载分担并NAT及互为备份
思科路由器双WAN口负载分担并NAT及互为备份
说明:
客户接入ISP1及ISP2,内部有4 个网段分别是:
192.168.10.0/24
192.168.20.0/24
10.10.10.0/24
20.20.20.20/24
正常模式为192.168.10.0和10.10.10.0两个网段优先走ISP1,192.168.20.0和202.20.20.0两个网段优先走ISP2。当IPS1线路中断时(即使R3接IPS1的接口是UP)192.168.10.0和10.10.10.0两个网段会自动转到ISP2,ISP2中断时同亦。
下面是拓扑图,及各台设备的配置文档,在GNS3上模拟测试成功。
(在网络上一直是伸手党,现在也分享下自己的经验,有不当之处还请指教,谢谢)
分别在R1、R2均配置loopback 0 1.1.1.1/32为测试对象,R3为边界路由器,配置最多放在最后
R1
R1#sh run
Building configuration...
Current configuration : 761 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
ip address 11.11.11.3 255.255.255.248 duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip route 11.11.11.0 255.255.255.248 11.11.11.1 !
no ip http server
no ip http secure-server
!
control-plane
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
end
R2
R2#sh run
Building configuration...
Current configuration : 761 bytes
!
version 12.4
service timestamps debug datetime msec service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
ip address 22.22.22.3 255.255.255.248 duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip route 22.22.22.0 255.255.255.248 22.22.22.1 !
no ip http server
no ip http secure-server
control-plane
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
end
R4
R4#SH RUN
Building configuration...
Current configuration : 755 bytes
!
version 12.4
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption
!
hostname R4
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
ip address 10.10.10.10 255.255.255.0 !
interface FastEthernet0/0
ip address 192.168.10.10 255.255.255.0 duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
no ip http server
no ip http secure-server
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
end
R5
R5#SH RUN
Building configuration...
Current configuration : 757 bytes
!
version 12.4
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption
!
hostname R5
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
ip address 20.20.20.20 255.255.255.0 !
interface FastEthernet0/0
ip address 192.168.20.20 255.255.255.0 duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.20.254 !
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
end
R6
R6#SH RUN
Building configuration...
Current configuration : 1548 bytes
!
version 12.4
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption
!
hostname R6
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
ip cef
!
!
!
!
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0 no ip address shutdown
duplex auto
speed auto
!
interface FastEthernet0/1 no ip address shutdown
speed auto
!
interface FastEthernet1/0
switchport mode trunk
!
interface FastEthernet1/1
!
interface FastEthernet1/2
!
interface FastEthernet1/3
!
interface FastEthernet1/4
switchport access vlan 10
!
interface FastEthernet1/5
switchport access vlan 20
!
interface FastEthernet1/6
!
interface FastEthernet1/7
!
interface FastEthernet1/8
!
interface FastEthernet1/9
!
interface FastEthernet1/10
!
interface FastEthernet1/11
!
interface FastEthernet1/12
!
interface FastEthernet1/13
!
interface FastEthernet1/14
!
interface FastEthernet1/15
!
interface Vlan1
no ip address
!
interface Vlan10
ip address 192.168.10.254 255.255.255.0 !
ip address 192.168.20.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 10.10.10.0 255.255.255.0 192.168.10.10 ip route 20.20.20.0 255.255.255.0 192.168.20.20 !
!
no ip http server
no ip http secure-server
!
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
!
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
!
end
R6#
R3
R3#SH RUN
Building configuration...
Current configuration : 2739 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
!
ip sla monitor 1
type echo protocol ipIcmpEcho 11.11.11.3 source-interface FastEthernet0/0 frequency 10
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 22.22.22.3 source-interface FastEthernet0/1 frequency 10
ip sla monitor schedule 2 life forever start-time now
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
track 1 rtr 1 reachability
!
track 2 rtr 2 reachability
!
!
!
!
!
interface FastEthernet0/0
ip address 11.11.11.1 255.255.255.248 ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 22.22.22.1 255.255.255.248 ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
duplex full
interface FastEthernet2/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map test
!
ip route 0.0.0.0 0.0.0.0 11.11.11.3
ip route 0.0.0.0 0.0.0.0 22.22.22.3
ip route 10.10.10.0 255.255.255.0 192.168.10.254
ip route 20.20.20.0 255.255.255.0 192.168.10.254
ip route 192.168.20.0 255.255.255.0 192.168.10.254
!
no ip http server
no ip http secure-server
!
ip nat inside source route-map 1 interface FastEthernet0/0 overload ip nat inside source route-map 2 interface FastEthernet0/1 overload ip nat inside source route-map 3 interface FastEthernet0/1 overload ip nat inside source route-map 4 interface FastEthernet0/0 overload !
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 permit 10.10.10.0 0.0.0.255
access-list 20 permit 192.168.20.0 0.0.0.255
access-list 20 permit 20.20.20.0 0.0.0.255
!
route-map test permit 10
match ip address 10
set ip next-hop verify-availability 11.11.11.3 1 track 1
set ip next-hop verify-availability 22.22.22.3 2 track 2
!
route-map test permit 20
match ip address 20
set ip next-hop verify-availability 22.22.22.3 1 track 2
set ip next-hop verify-availability 11.11.11.3 2 track 1
!
route-map 1 permit 10
match ip address 10
match interface FastEthernet0/0
!
route-map 2 permit 10
match ip address 20
match interface FastEthernet0/1
route-map 3 permit 10 match ip address 10 !
route-map 4 permit 10 match ip address 20 !
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper shutdown
!
!
line con 0
exec-timeout 0 0 logging synchronous stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
end
R3#
通过动态路由协议实现链路备份
通过动态路由协议实现链路备份 【实验名称】 通过动态路由协议实现链路备份 【实验目的】 掌握通过在不同链路上配置不同的路由协议实现链路备份。 【背景描述】 你是公司高级网络管理员,公司内部有一个很重要的服务器所在网段为192.168.12.0/24,平常访问通过R1,R3的OSPF路由协议,为了保证该网段随时能够访问,不能因为链路故障出问题,要求你实现一个备份冗余的功能,请给予支持。 【实现功能】 保证在拥有冗余链路的时候,主链路失效,备份链路工作。 【实验拓扑】 【实验设备】 R2624(3台) V35DCE(2根)、V35DTE(2根)
【实验步骤】 第一步:基本配置 Red-Giant(config)#hos R3 R3(config)#int s0 R3(config-if)#ip add 192.168.13.3 255.255.255.0 R3(config-if)#clock rate 64000 R3(config-if)#no sh R3(config-if)#int f0 R3(config-if)#ip add 192.168.4.1 255.255.255.0 R3(config-if)#no sh R3(config)#int f1 R3(config-if)#ip add 192.168.3.1 255.255.255.0 R3(config-if)#no sh R3(config)#int s1 R3(config-if)#ip add 192.168.23.3 255.255.255.0 R3(config-if)#cl ra 64000 R3(config-if)#no sh R3(config-if)#end Red-Giant(config)# Red-Giant(config)# hos R2 R2(config)#int s0 R2(config-if)# int s0 R2(config-if)#ip add 192.168.23.2 255.255.255.0 R2(config-if)#no sh R2(config-if)#int f0 R2(config-if)#ip add 192.168.12.2 255.255.255.0 R2(config-if)#no sh R2(config-if)#end Red-Giant(config)#hos R1 R1(config)#int s0 R1(config-if)#ip add 192.168.12.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#int s0 R1(config-if)#no sh R1(config-if)#end R1#conf t R1(config)#int f0 R1(config-if)#ip add 192.168.12.1 255.255.255.0 R1(config-if)#no sh 验证测试:R1#ping 192.168.13.3 Type escape sequence to abort.
Cisco路由备份和负载均衡
以双外线路由备份为例的..多外线路无非就是在原来的基础上增加相应的策略路由.... 前提是在各接口等基础配置完毕的情况下. (1)可以针对两条线路先加两条默认路由:以第一条优先,如果第一条线路出现故障,将自动跳转到第二条线路上。 ip route 0.0.0.0 0.0.0.0 x.x.x.x ip route 0.0.0.0 0.0.0.0 y.y.y.y (2)如果在第一条线路正常的情况下,需要由第二条线路负载部分,可以在(1)的基础上,做策略路由。如下: 进入路由器内网接口假设是fa0/0 int fa0/0 ip policy route-map yy ( 在端口绑定策略路由) A、对部分网段做策略,例把192.168.1.0和192.168.2.0 跳转到y.y.y.y 线路上部分负载。 access-list 12 permit 192.168.1.0 0.0.0.255 access-list 12 permit 192.168.2.0 0.0.0.255 route-map yy permit 10 (定义策略yy) match ip address 12 (匹配控制列表12) set ip next-hop y.y.y.y (设置下一跳地址,即数据包途经的下一个路由器接口地址[网关]) B、对部分主机做策略,例把主机192.168.3.11和主机192.168.4.12 跳转到y.y.y.y线路上部分负载(默认这两个网段地址是走第一条默认路
由的,即x.x.x.x)。 access-list 101 permit ip host 192.168.3.11 any access-list 101 permit ip host 192.168.4.12 any route-map yy permit 20 (定义策略yy) match ip address 101 (匹配控制列表101) set ip next-hop y.y.y.y (设置下一跳地址,即数据包途经的下一个路由器接口地址[网关]) 这样在默认情况下,除了以上策略路由中定义的网段和主机外,其他网段所有主机均通过线路x.x.x.x连接到外部网络,如果x.x.x.x这条线路出现故障,默认路由就会变成y.y.y.y,并且策略路由都在y.y.y.y线路上,所以不会受到影响....
华为防火墙NAT配置命令
私网用户通过NAPT方式访问Internet (备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。) 本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。组网需求 如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路 1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。 2.配置安全策略,允许私网指定网段访问Internet。 3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP 地址访问Internet。 4.配置黑洞路由,防止产生路由环路。
操作步骤 1.配置USG9000的接口IP地址,并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。
Fast_FR48路由器设置说明
Fast FR48路由器设置说明同时也是SOHO路由器IP QoS功能设置IP QoS功能,是基于IP地址、IP地址段的保障最小带宽和限制最大带宽功能; 可以很方便地限制BT、迅雷等P2P软件下载,限制其占用大量的带宽,抢占其它用户资源,造成其它用户无法正常上网;还可以按照实际需求对不同的用户科学地分配不同的带宽,尽最大限度利用宽带,不浪费带宽。通过设置IP QoS后,结束了一“资”独占的历史,保证内网随您所欲按需运行!下面我们就来简单介绍一下QoS功能的配置使用: 一、登录路由器管理界面后(网页地址栏192.168.1.1 用户名admin 密码 admin),可以在左边菜单栏看到IP带宽控制,点击打开该页面,在这里您可以对不同的IP地址设置不同的QoS模式和带宽大小; 二、首先是勾选上面的开启IP带宽控制,QoS功能才可以具体进行设置。 在选择宽带线路类型及填写带宽大小时,请根据实际情况进行选择和填写,如不清楚,请咨询您的带宽提供商(如电信、网通等)如:您申请的是PPPoE拨号方式2M带宽的话就选ADSL线路,带宽大小填入2000即可(带宽的换算关系为:1Mbps = 1000Kbps)。注意:您申请的带宽大小,如果填写的值与实际不符,QoS效果会受到很大影响。 三、IP QoS设置: 保障最小带宽:受该条规则限制的IP地址(或IP地址段)的带宽总和至少可以达到此值,最大不受限制。此模式可以充分利用您申请的带宽值,不浪费一点带宽;且路由器内置预留的带宽功能可以保障在您BT下载达到峰值的时候,其它电脑的上网操作不受影响,使网络资源得到合理分配,内网正常运行。您可以设置您内网电脑IP地址为保障最小带宽,出于公平原则,保障最小带宽=总带宽/内网机子总数,如:您拉的2M带宽,内网4台机子的话保障最小带宽应为2000/4=500Kbps。如下图所示:
详解TP-Link路由器设置(图解)
详解TP-Link路由器设置(图解) 路由器设置图解旨在为搭建网络的初学者准备,技术要点其实没有什么,但是步骤的繁琐让很多人望而怯步,那么这里就向你展示具体操作的整过过程,让你轻松掌握路由器设置. TP-Link路由器设置之设备准备 首先具备的条件是:路由器一个(可以为4口,8口,16口,甚至更多的),如果你有很多台电脑,可以买个多口的交换机.网线直通线数条,电信mode一个(或者你是专线那就不需要 mode了),pc电脑至少2台以上(如果只有一台,使用路由器是可以的,但是就失去了使用路由器的意义了. 其实tp-link公司出的路由器,比如TP-LINK TL-402M或者是401M或者是其他型号的tp-link路由器,路由开启方法大多差不多.下面本文以TP-LINK TL-402M 为例,请看图片1 图1TP-LINK TL-402M tp- link路由器介绍到这里,大家只要按图片里的介绍,将PC,电信宽带MODE,路由器,相互正确连接,那么一个网络就已经组好了.下面介绍怎么样开启路由功能. TP-Link路由器设置之前期设置: 如果线都已经接好.我们这个时候随便打开一台连好的PC电脑.打开网上邻居
属性(图片2),本地连接属性(图片3),tcp/ip协议属性(图片4),设置ip为192.168.1.2 子网:255.255.255.0 网关:192.168.1.1(图片5)确定,DNS在配置路由器完后在行设置. 注:可以到到控制面板网络连接去设置. 以xp为例,请看图2至图5的细节 图2 打开网上邻居属性 图3 本地连接属性
图4 tcp/ip协议属性 图5 设置ip等
路由备份配置
实验九:路由备份配置 【实验题目】 路由备份配置 【实验目的与要求】 (1)考查学生综合解决问题的能力; (2)根据实验需求,完成配置; 【实验环境】 在本实验中,采用三台Quidway AR28-09路由器、一台QuidwayS3026E交换机和4台PC机来组建实验环境。RTA模拟整个企业网,RTB模拟电信,RTC模拟网通。具体实验环境如图6-1所示。 图4-6 实验环境
【实验需求】 在中小企业网络组建过程中,考虑到可靠性和效率问题(如北方属于网通,南方属于电信),经常出现申请到两个公网地址(在本实验中,电信IP地址:202.1.1.1 255.255.255.0,网关:202.1.1.2,网通IP地址:60.1.1.1 255.0.0.0,网关:60.1.1.2),那么在配置网络的时候,就要考虑到负载均衡,相互备份的问题,同时在企业内部大量主机需要连上Internet,同时提供各种服务,如WWW,FTP等。 设置路由表: RTA: RTB
rtc 具体要求: (1)内网采用私有地址:192.168.0.0网段,要求192.168.0.1-127能够访问外网,192.168.0.128-254不能访问外网; (2)对外提供WWW和FTP服务,服务时间:8:00-17:00 working-day;
(3)除访问网通所属网段外,所有数据包优先走电信; 设置电信优先级为60: (4)访问网通所属网段走网通链路;(假设60.0.0.0-69.0.0.0网段属于网通) (5)电信与网通互为备份;
(6)实验中,电信和网通的路由协议不限; …… 实验总结:本次实验线路比较复杂,容易导致连线出错,线路连接好之后,配置命令较为简单,只要理解了就很好配置路由的优先级。
华为_MSR路由器_教育网双出口NAT服务器的典型配置
华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求: MSR 的 G0/0 连接某学校内网, G5/0 连接电信出口, G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校 一、组网需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.360docs.net/doc/c26289198.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、组网图:
三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。
四、配置关键点: 1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现; 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去; 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策
路由器配置手册
路由器设置指南 本指南主要针对现场的工程人员,描述了CISCO路由器的设置和应用 一、准备工作 1. 打开 包装箱,取出路由器及其附属线缆(包括电源线、兰色的控制线)。 2 .连接控制线:将兰色控制线的一头(RJ45)插在路由器后面板的“CONSOLE” 口(兰色的),另一头(DB9串口)插在计算机的COM1上 路由器专用控制线 3 ?插上路由器电源线 4. 打开计算机。进入超级终端程序(开始一程序 附件一通讯(Communications)一超级终端)。 Tcofc mmnnuu
syffl^nlsc ShcwRun... pcAiywh.. ■S D N X 5叙1J 強2W3 牡pp Expitwer 囤 rtcroGoft^teoTriai -7! rtcrowft Stutto 6.0 色 EymciiCK pc^nywhef ( B 金山词药2CO2 宜 Rsgsuis I uagx )2re2s FnotesJenai */5.Q -3 Mcrosoft Developer Networt 目OK 占al 2 画 I*tera5cift Wcxd 盲lit 空奈* *宣爭無工具 * 13荫戏 扇按乐 卜斟ThjrfType 遣宇程序 1111代咼扌換工且 *芒画朗 * 9A 计尊鬧 ”刖 WTdOWE 资诛管淫期 * ? ie?t a 命与?s 彌 新建一个连接: (1)输入新建连接的名称,如 ROUTER I ast^at 也图博处理 /写字乐 爭■MTdc*^ Uodate Q 金山影霸a?3 琏? fflft 冲 Wff oflteSHf ffl 1商建Of 麻文桂 Jrtffli ] ? 扛:1 0?」j 禹 A|JM 出S 盘Q :) |0他2血:朋心-[冷..当箱由圏段11寺印m..|p 云氏艺-吕屋 ? ffi l S 呵& 腊ff 期设 禹却舸 通过用制單调鬧或昔韭週制雪近蛊屯銀, |计 W> Jnlwra btm 诂点、虫幷牡駅务 |IBEE :?联机眼瓠以圧主40蛙不楚抓 |
CISCO双链路自动备份
望各位进行讨论,希望找到可行性的方法,即能解决策略路由问题,又能实现双链路的自动备份功能! ervice timestamps log uptime no service password-encryption ! hostname Router !! ip subnet-zero !! call rsvp-sync ! interface FastEthernet0/0 --------------------假设该端口为ISP 1接入端口 ip address 192.168.1.2 255.255.255.0 --------分配地址 ip nat outside --------指定为NAT Outside端口 duplex auto speed auto ! interface FastEthernet0/1 --------------------假设该端口为ISP 2接入端口 ip address 192.168.2.2 255.255.255.0 --------分配地址 ip nat outside --------指定为NAT Outside端口 duplex auto speed auto ! interface Ethernet1/0 --------------------假设该端口为内部网络端口
ip address 100.100.255.254 255.255.0.0 --------分配地址 ip nat inside --------指定为NAT Inside端口 ip policy route-map t0 --------在该端口上使用route-map t0进行策略控 half-duplex ! ip nat inside source list 1 interface FastEthernet0/0 overload ------Nat转换,指定原地址为100.100.23.0的主机使用Fastethernet 0/0的地址进行转换 ip nat inside source list 2 interface FastEthernet0/1 overload ------Nat转换,指定原地址为100.100.24.0的主机使用Fastethernet 0/1的地址进行转换 ip classless ip route 0.0.0.0 0.0.0.0 192.168.2.1 ------静态路由,对Internet 的访问通过192.168.2.1(ISP2)链路 ip route 0.0.0.0 0.0.0.0 192.168.1.1 ------静态路由,对Internet 的访问通过192.168.1.1(ISP1)链路 ip http server 静太路由不起很大的作用,因为存在策略路由,主要是set int 要求有显示的去往目的的路由 ! access-list 1 permit 100.100.23.0 0.0.0.255 ----访问控制列表1,用于过滤原地址,允许100.100.23.0网段主机流量通过 (用来做策略路由) access-list 1 permit any (用来做NAT备份) access-list 2 permit 100.100.24.0 0.0.0.255 ----访问控制列表2,用于过滤原地址,允许100.100.23.0网段主机流量通过 (用来做策略路由) access-list 2 permit any(用来做NAT备份) 如果做set int 备份,则acl1,acl2应该允许所有的,进行nat
基于策略路由的负载分担
基于策略路由负载分担应用指导 Hangzhou Huawei-3Com Technology Co., Ltd. 杭州华为3Com技术有限公司 All rights reserved 版权所有侵权必究
ADSL路由器的ISDN备份的配置方案目录 目录 1介绍 (1) 1.1特性简介 (1) 2使用指南 (1) 2.1使用场合 (1) 2.2配置指南 (1) 2.3注意事项 (2) 3配置举例 (2) 3.1组网需求 (2) 3.2配置步骤 (3) 4/6/2013 版权所有,侵权必究第i页
基于策略路由负载分担应用指导 关键词: 策略路由 摘要: 目前越来越多的网吧对网络的可靠性稳定性要求越来越高,本文主要介绍AR宽带路 由器基于策略路由负载分担的应用方法和配置步骤。 1 介绍 1.1 特性简介 目前网吧对网络的可靠性和稳定性要求越来越高,一般网吧与运营商都有两条线路 保证一条线路出现故障时能够有另一条链路作为备份。当两条线路都正常时为了减 少一条线路流量压力,将流量平均分配到另外一条线路,这样提高了网络速度。当 一条链路出现故障接口DOWN掉时,系统自动将流量全部转到另一条线路转发,这 样提高了网络的稳定性、可靠性。满足网吧对业务要求不能中断这种需求,确保承 载的业务不受影响。 2 使用指南 2.1 使用场合 本特性可以用在双链路的组网环境内,两条链路分担流量。保证了网络的可靠性、 稳定性。 2.2 配置指南 本指南以18-22-8产品为例,此产品有2个WAN接口。ethernet2/0、ethernet3/0互为 备份。 可以通过以下几个配置步骤实现本特性: 1) 配置2个WAN接口是以太链路,本案例中以以太网直连连接方式为例; 4/6/2013 版权所有,侵权必究第1页
华为Eudemon防火墙NAT配置实例
[原创]华为Eudemon防火墙NAT配置实例Post By:2007-7-11 11:35:00 贴一下我公司里防火墙的配置,希望能够起到抛砖引玉的作用。具体外网IP和内网ARP绑定信息已经用“x”替代,请根据实际情况更换。“//”后面的部分是我导出配置后添加的注释。防火墙型号为华为Eudemon 200,E0/0/0口为外网接口,E0/0/1口为内网。另外此配置方法也完全适用于华为Secpath系列防火墙,略加改动也可适用于华为A R系列路由器。 ------------------------------------------传说中的分隔线------------------------------------------ # sysname Eudemon//设置主机名 # super password level 3 simple xxxxxxxx//Super密码为xxxxxxxx # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound//设置默认允许所有数据包通过 # 青岛IT社区提醒:本地交易眼见为实,当面验货!不要嫌麻烦!交易地点建议在人多地方,防止抢劫!
路由器的设置方法(图解)
[教程资料] 路由器的设置方法(图解) 路由器, 图解, 设置 路由器的设置方法(图解) tp-link各产品开启路由器的方法首先介绍一下利用路由器实现多台电脑同时上网的方法.首先具备的条件是:路由器一个(可以为4口,8口,16口,甚至更多的),如果你有很多台电脑,可以买个多口的交换机.网线直通线数条,电信mode一个(或者你是专线那就不需要mode了),pc电脑至少2台以上(如果只有一台,使用路由器是可以的,但是就失去了使用路由器的意义了.其实tp-link公司出的路由器,比如TP-LINKTL-402M 或者是401M或者是其他型号的tp-link路由器,路由开启方法大多差不多.下面本文以 TP-LINKTL-402M为例,请看图片 只要按图片里的介绍,将PC,电信宽带MODE,路由器,相互正确连接,那么一个网络就已经组好了.下面介绍怎么样开起路由功能.如果线都已经接好.我们这个时候随便打开一台连好的PC电脑.打开网上邻居属性(图片2),本地连接属性(图片3),tcp/ip协议属性(图片4),设置ip为192.168.1.2子网:255.255.255.0网关:192.168.1.1(图片5)确定,DNS在配置路由器完后在行设置.注:如果是98和me系统,请到控制面板网络连接
去设置.这里xp为例,请看图
对了,这里提醒一下大家,ip设置网段,可以设置在192.168.1.2-192.168.1.254之间都可以,不要将同一IP设置为多台电脑,这样就会引起IP冲突了.切记.好了当设置到这里.我就可以打开桌面的InternetExplorer,输入192.168.1.1回车,请看图片
H3C_S系列三层交换机负载分担、链路备份的实现过程
H3C S系列三层交换机负载分担、链路备份的实现过程 实验背景: 随着公司规模的不断扩大,网络部门同时申请了两根光纤,其中一根为10M,另外一根为20M,由于带宽不对称,要求在三层交换机上做策略路由实现2:1的流量分配,其次要求两条线路互相备份,从而实现公司网络安全可靠的传输。 实验网络拓扑图: 配置说明: 由于S系列三层交换机暂不支持基于用户的负载分担特性,可以使用策略路由、静态路由和NQA自动侦测实现负载分担和链路备份功能。
原理说明: 原理: NQA是一种实时的网络性能探测和统计技术,可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA还提供了与Track和应用模块联动的功能,实时监控网络状 态的变化。 IP单播策略路由通过与NQA、Track联动,增加了应用的灵活性,增强了策略路由对网络环境的动态感知能力。 策略路由可以在配置报文的发送接口、缺省发送接口、下一跳、缺省下一跳时,通过Track与NQA关联。如果NQA探测成功,则该策略有效,可以指导转发;如果探测失败,则该策略无效,转发时忽略该策略。ICMP-echo功能是NQA最基本的功能,遵循RFC 2925来实现,其实现原理是通过发送ICMP报文来判断目的地的可达性、计算网络响应时间及丢包率。ICMP-echo测试成功的前提条件是目的设备要能够正确响应ICMP echo request报文。NQA客户端会根据设置的探测时间及频率向探测的目的IP地址发ICMP echo request报文,目的地址收到ICMP echo request报文后,回复ICMP echo reply报文。NQA客户端根据ICMP echo reply报文的接收情况,如接收时间和报文个数,计算出到目的IP地址的响应时间及丢包率,从而反映当前的网络性能及网络情况。ICMP-echo 测试的结果和历史记录将记录在测试组中,可以通过命令行来查看探测结果和历史记录。
路由器双出口负载分担并NAT及互为备份
思科路由器双WAN口负载分担并NAT及互为备份 说明: 客户接入ISP1及ISP2,部有4 个网段分别是: 192.168.10.0/24 192.168.20.0/24 10.10.10.0/24 20.20.20.20/24 正常模式为192.168.10.0和10.10.10.0两个网段优先走ISP1,192.168.20.0和202.20.20.0两个网段优先走ISP2。当IPS1线路中断时(即使R3接IPS1的接口是UP)192.168.10.0和10.10.10.0两个网段会自动转到ISP2,ISP2中断时同亦。 下面是拓扑图,及各台设备的配置文档,在GNS3上模拟测试成功。 (在网络上一直是伸手党,现在也分享下自己的经验,有不当之处还请指教,谢谢)
分别在R1、R2均配置loopback 0 1.1.1.1/32为测试对象,R3为边界路由器,配置最多放在最后 R1 R1#sh run Building configuration... Current configuration : 761 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no password-encryption ! hostname R1 !
boot-start-marker boot-end-marker ! ! no aaa new-model ! ! ip cef no ip domain lookup ! ! interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface FastEthernet0/0 ip address 11.11.11.3 255.255.255.248 duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! ip route 11.11.11.0 255.255.255.248 11.11.11.1 ! no ip http server no ip http secure-server ! control-plane ! gatekeeper shutdown ! ! line con 0 exec-timeout 0 0 logging synchronous stopbits 1 line aux 0 stopbits 1 line vty 0 4 !
华为nat配置实例
窗体顶端 NAT 【Router】 华为路由器单臂路由配置实例 组网描述: PC---------------------3050C-------------------------AR28-31-------------------------INTERNET 组网实现: 3050C上划分多个VLAN,在AR28-31上终结VLAN信息,下面的所有VLAN中的PC都可以上公
网,所有的PC机都通过AR28-31分配IP地址和DNS [AR28-31]dis cu # sysname Quidway # FTP server enable # nat address-group 0 222.222.222.2 222.222.222.10用于上公网的地址池# radius scheme system # domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp local-user huawei telnet用户,用于远程管理 password simple huawei service-type telnet level 3 # dhcp server ip-pool 10为VLAN10分配IP地址network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 100.100.100.100 # dhcp server ip-pool 20为VLAN20分配IP地址network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.1 dns-list 100.100.100.100 # dhcp server ip-pool 30为VLAN30分配IP地址network 192.168.30.0 mask 255.255.255.0 gateway-list 192.168.30.1 dns-list 100.100.100.100 # dhcp server ip-pool 40为VLAN40分配IP地址network 192.168.40.0 mask 255.255.255.0 gateway-list 192.168.40.1 dns-list 100.100.100.100 # interface Aux0 async mode flow # interface Ethernet1/0用于与交换机的管理IP互通 ip address 192.168.100.1 255.255.255.0 firewall packet-filter 3000 inbound # interface Ethernet1/0.1终结交换机上的VLAN10 tcp mss 1024 ip address 192.168.10.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 10 # interface Ethernet1/0.2终结交换机上的VLAN20
静态路由配置要点
静态路由配置 姓名:小许 学号:2011508006 班级:1班 指导老师:曹传东日期:2014/04/25
目录 一实验目的 (3) 二实验拓扑图 (3) 三实验内容 (4) 四实验步骤及截图 (4) 五实验课后思考题 (29) 六实验总结 (30)
一实验目的 1.理解并掌握路由器/交换机IOS的工作模式及其切换方法; 2.掌握使用show命令检查路由器/交换机的相关配置信息; 3.掌握使用路由器/交换机IOS提供的CLI帮助系统和常用编辑功能键; 4.掌握实验模拟配置工具绘制实验拓扑图的操作过程; 5.学会路由器/交换机IOS的各种配置命令及其检查方式,熟练应用模拟配置工具根据拓扑图进行相应的配置及检测的方法。 二实验拓扑图
三实验内容 1.每人一机,安装并配置Cisco Packet Tracer V5.00 的模拟配置工具; 2.用Cisco Packet Tracer V5.00 的模拟配置工具绘制本实验的相应网络拓扑 图; 3.逐个单机拓扑图每台设备,进入该设备的命令进行交互操作,进行工作 模式的切换和选择; 4.利用show命检查设备的相关配置及信息; 5.练习使用路由/交换IOS提供的CLI帮助系统和常用编辑功能键; 6.在Cisco Packet Tracer V5.00 的模拟配置工具中。依据已绘制出的拓扑图 进行相应的设备基本配置及配置检查测试。 四实验步骤及截图 Step1:选择添加6个PC-PT设备,3个2950-24交换机和5个2620XM路由器设备至逻辑工作空间; (提示:2620XM路由器需要断电后接插WIC模块才有广域网互联用的高速同步串口 Step2:配置PC0的IP、子网掩码、默认网关3项基本参数; (PC0: 192.168.0.100 255.255.255.0 GW: 192.168.0.1)正确的分区(4-5个)以及GRUB双系统引导程序。
H3C负载分担链路备份的实现过程详解
H3C MSR20/30/50系列路由器 负载分担、链路备份的实现过程详解 实验背景: 随着公司规模的不断扩大,网络部门同时申请了两根光纤,其中一根为10M,另外一根为20M,由于带宽不对称,要求在出口路由器上做策略路由实现2:1的流量分配,其次要求两条线路互相备份,从而实现公司网络安全可靠的传输。 实验网络拓扑图: 配置说明: 由于MSR20/30/50路由器暂不支持基于用户的负载分担特性,可以使用NQA自动侦测与静态路由和策略路由通过Track联动实现负载分担和链路备份功能。 原理说明: 原理: NQA是一种实时的网络性能探测和统计技术,可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA还提供了与Track和应用模块联动的功能,实时监控网络状态的变化。 IP单播策略路由通过与NQA、Track联动,增加了应用的灵活性,增强了策略路由对网络环境的动态感知能力。
策略路由可以在配置报文的发送接口、缺省发送接口、下一跳、缺省下一跳时,通过Track与NQA关联。如果NQA探测成功,则该策略有效,可以指导转发;如果探测失败,则该策略无效,转发时忽略该策略。 ICMP-echo功能是NQA最基本的功能,遵循RFC 2925来实现,其实现原理是通过发送ICMP报文来判断目的地的可达性、计算网络响应时间及丢包率。 ICMP-echo测试成功的前提条件是目的设备要能够正确响应ICMP echo request报文。NQA客户端会根据设置的探测时间及频率向探测的目的IP地址发ICMP echo request报文,目的地址收到ICMP echo request报文后,回复ICMP echo reply报文。NQA客户端根据ICMP echo reply报文的接收情况,如接收时间和报文个数,计算出到目的IP地址的响应时间及丢包率,从而反映当前的网络性能及网络情况。 ICMP-echo测试的结果和历史记录将记录在测试组中,可以通过命令行来查看探测 结果和历史记录。 配置步骤: 1、配置两个自动侦测组,对E0/1(wan1)和E0/0(wan2)连接 状态进行侦测: nqa agent enable #开启NQA客户端功能(缺省情况下处于开启状态)# nqa entry wan1 1#创建管理员为wan1/操作标签为1的NQA测试组并进入NAQ测试组视图 type icmp-echo#配置测试例类型为ICMP-echo并进入测试类型视图destination ip 1.1.1.2 #配置测试操作的目的IP地址也就是E0/1接口的网关 next-hop 1.1.1.2配置IP报文的下一跳IP地址 probe count 3配置一次NQA测试中进行探测的次数,默认为1此probe timeout 1000配置NQA探测超时时间,默认为3000ms frequency 1000 #测试频率为1000ms既测试组连续两次测试开始时间的时间间隔为1秒 reaction 1 checked-element probe-fail threshold-typeconsecutive 6 action-type trigger-only#建立联动项1,既如果连续测试6次失败则触发相关动作
VRRP技术实现网络的路由冗余和负载均衡
1 问题的提出 随着网络应用的不断深入和发展,用户对网络可靠性的需求越来越高。网络中路由器运行动态路由协议如RIP、OSPF可以实现网络路由的冗余备份,当一个主路由发生故障后,网络可以自动切换到它的备份路由实现网络的连接。但是,对于网络边缘终端用户的主机运行一个动态路由协议来实现可靠性是不可行的。一般企业局域网通过路由器连接外网,局域网内用户主机通过配置默认网关来实 现与外部网络的访问。 图1 配置默认网关 如图一所示,内部网络上的所有主机都配置了一个默认网关 (GW:192.168.1.1),为路由器的E thernet0接口地址。这样,内网主机发出的目的地址不在本网段的报文将通过默认网关发往RouterA,从而实现了主机与外部网络通信。路由器在这里是网络中的关键设备,当路由器RouterA出现故障时,局域网将中断与外网的通信。对于依托网络与外部业务往来频繁的企业以及公司的分支机构与总部的联系、银行的营业网点与银行数据中心的连接等方面的应用将因此受到极大的影响。为提高网络的可靠性,在网络构建时,往往多增设一台路由器。但是,若仅仅在网络上设置多个路由器,而不做特别配置,对于目标地址是其它网络的报文,主机只能将报文发给预先配置的那个默认网关,而不能实现故障情况下路由器的自动切换。VRRP虚拟路由器冗余协议就是针对上述备份问题而提出,消除静态缺省路由环境中所固有的缺陷。它不改变组网情况,只需要在相关路由器上配置极少几条命令,在网络设备故障情况下不需要在主机上做任何更改配置,就能实现下一跳网关的备份,不会给主机带来任何负担。 2 VRRP技术分析
VRRP(Virtual Router Redundancy Protocol)是一种LAN接入设备容错协议,VRRP将局域网的一组路由器(包括一个Master即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组,如图2所示。 图2 虚拟路由器示意图 VRRP将局域网的一组路由器,如图二中的RouterA和RouterB 组织成一个虚拟的路由器。这个虚拟的路由器拥有自己的IP地址192.168.1.3,称为路由器的虚拟IP地址。同时,物理路由器RouterA ,RouterB也有自己的IP地址(如RouterA的IP地址为192.168.1.1,RouterB的IP地址为192.168.1.2)。局域网内的主机仅仅知道这个虚拟路由器的IP地址192.168.1.3,而并不知道备份组内具体路由器的IP地址。在配置时,将局域网主机的默认网关设置为该虚拟路由器的IP地址192.168.1.3。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信,实际的数据处理由备份组内Master路由器执行。如果备份组内的Master路由器出现故障时,备份组内的其它Backup路由器将会接替成为新的Master,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。 VRRP通过多台路由器实现冗余,任何时候只有一台路由器为主路由器,其他的为备份路由器。路由器间的切换对用户是完全透明的,用户不必关心具体过程,只要把缺省路由器设为虚拟路由器的IP地址即可。路由器间的切换过程: ⑴ VRRP协议采用竞选的方法选择主路由器。比较各台路由器优先级的大小,优先级最大的为主路由器,状态变为Master。若路由器的优先级相同,则比较网络接口的主IP地址,主IP地址大的就成为主路由器,由它提供实际的路由服务。 ⑵ 主路由器选出后,其它路由器作为备份路由器,并通过主路由器发出的VRRP报文监测主路由器的状态。当主路由器正常工作时,它会每隔一段时间发送一个VRRP组播报文,以通知备份路由器,主路由器处于正常工作状态。如果