策略路由-双链路负载.docVIP

指定策略路由 实现双链路负载某公司原有一个外网接入线路，后来又申请了新的一条外网接入。使用单独的线路进行服务器区域的外网接入，可以将内部的服务器使用NAT发布到公网上，保证服务器本身的部分安全。另外，其它区域人员对于出口而言主要是对外访问，而服务器区域过多的是被对内访问。那么本质上的将两种应用隔开，无论是做ACL还是对于流量的负载均衡都有较大的益处。 ???????F0/1接入的是原本的ISP线路，网络地址为：92/27 新的ISP线路接在了F0/2上，网络地址为：0/29 　配置如下： ??? Interface f 0/1??? Ip address 94 24??? Ip nat outside??? Interface f 0/2??? Ip address 2 48??? Ip nat outside??? Interface f 0/0??? Ip address ??? Ip nat inside??? ip policy route-map vfast ??? //在此口（入口）应用策略名为vfast的策略路由??? Ip nat inside source list 1 interface FastEthernet 0/1 overload??? Ip nat inside source static tcp 0 80 2 80 extendable??? Ip nat inside source static tcp 0 21 2 21 extendable??? Ip nat inside source static tcp 0 80 3 80 extendable??? Ip nat inside source static tcp 0 21 3 21 extendable??? Ip nat inside source static tcp 0 80 4 80 extendable??? Ip nat inside source static tcp 0 21 4 21 extendable ??? //内部员工上网可以做动态翻译，一劳永逸。??? //服务器区域设备可以采用静态的一对一翻译，??? //这样只是把服务器需要用到的端口翻译出去就可以了，??? //此处我们以web服务器为例。 ??? Ip route 93??? Ip route 1??? Access-list 1 permit 55??? Access-list 1 permit 55??? Access-list 1 permit 55??? Access-list 2 permit 55??? route-map vfast permit 10 //定义route-map ，命名此策略名为vfast，配置其permit序列10 ??? match ip address 1?? //应用acl-1中允许通过的网段地址 set interface FastEthernet0/1 ?? //指定出口为Fastethetnet 0/1??? !??? route-map vfast permit 20??? match ip address 2??? set interface FastEthernet0/2???交换机策略路由的应用一、网络拓扑 办公网为172网段，其核心交换机为85-1，由NE-1做NAT通过网通上internet；宿舍区为10网段，其核心交换机为85-2，由NE-2做NAT通过电信上internet。服务器放在S85-1下，为172网段的地址，供宿舍区10网段主机访问。 二、应用需求及实现分析 应用需求： 由于网通和电信的出口均为百兆，而宿舍区用户远远多于办公区的用户，要分流部分宿舍区的用户通过网通的出口上internet。 实现分析： 此需求看起来很简单，即通过策略路由，使部分用户上网的下一跳到S85-1上，通过NE-1出去。但是仔细分析具体的实现，还是有很多要考虑的地方。 1．S8500上策略路由只能在入端口方向上做，这样，要在特定网段的所有入端口应用策略路由。 2．应用策略路由的流由ACL来定义区分，此处ACL由关键字源IP来定义。 acl number 2000 rule 0 permit ip source 55 策略路由优先级最高，如果定义上面的ACL，当10网段访问10网段时，将会先匹配策略路由，从而下一跳到S85-1上，在S85-1上匹配路由，再回到S85-2上面，从而到达目的主机，这样来回就多了两跳。 3．修改ACL为禁止源ip为10网段，目的ip也为10网段的