一个双线路问题的解决思路.doc

客户需求： 双线路接入，分别在两个外网接口上做NAT映射到服务器上， 实现内网访问外网电信资源时走电信线路，访问联通走联通线路。 外网电信用户访问内网web服务器时走电信，联通用户访问web服务器走联通线路 第一个问题的解决： detect-group 1 /创建组，监测电信网关/ detect-list 1 ip address 110.236.1.161 detect-group 2 /创建组，监测联通网关/ detect-list 1 ip address 124.160.17.33 再写个路由 比如 ip route-static 0.0.0.0 0.0.0.0 110.236.1.161 preference 60 detect-group 1 ip route-static 0.0.0.0 0.0.0.0 124.160.17.33 preference 75 detect-group 2 ip route-static 59.16.0.0 255.255.0.0 124.160.17.33 preference 60 detect-group 2 ip route-static 59.17.0.0 255.255.128.0 124.160.17.33 preference 60 detect-group 2 ip route-static 59.17.128.0 255.255.128.0 124.160.17.33 preference 60 detect-group 2 ip route-static 59.18.0.0 255.255.0.0 124.160.17.33 preference 60 detect-group 2 思路： 第一：写两条默认静态路由 第二：修改其中一条的优先级为75，让电信成为主链路 第三：使用最长匹配，让网通的IP走网通的出口 第四：detect只是用来监测防止一条链路断掉 说明：在两个出口上都做NAT转换，然后使用静态路由和detect-group来确保链路的自动切换和冗余，这个方法没有问题。 第二个问题的解决方法 理论上的 acl number 3300 rule 1 permit ip source 172.16.2.201 0.0.0.0 rule 2 permit ip source 172.16.2.250 0.0.0.0 rule 3 permit ip source 172.16.2.203 0.0.0.0 acl number 3400 rule 1 permit ip source 172.16.2.221 0.0.0.0 rule 2 permit ip source 172.16.2.223 0.0.0.0 route-policy nat permit node 1 if-match acl 3300 apply ip-address next-hop 110.236.1.161 route-policy nat permit node 5 if-match acl 3400 apply ip-address next-hop 124.160.17.34 interface Ethernet0/0 ip policy route-policy nat 思路：服务器配置两块网卡（一块网卡用于网通访问，一块网卡用于电信访问）分别设置不同的地址，在网关上通过对不同的地址做destination NAT转换来达到访问电信公网IP和访问网通公网IP都可以转换到内网的服务器地址。（NAT只能一对一）。 现在我们来分析下，以上两个配置会导致的逻辑问题： 电信用户访问服务器的电信地址： 服务器端的网关将电信地址转换成内网地址，然后服务器回复的报文到达内网接口的时候根据策略路由将报文丢向电信端的出口。 网通用户访问服务器电信地址： 服务器端的网关将电信地址转换成内网地址，然后服务器回复的报文到达内网接口的时候根据策略路由将报文丢向电信端的出口。 网通用户访问服务器网通地址： 服务器端的网关将网通地址转换成内网地址，然后服务器回复的报文到达内网接口的时候根据策略路由将报文丢向网通端的出口。 电信用户访问服务器网通地址： 服务器端的网关将网通地址转换成内网地址，然后服务器回复的报文到达内网接口的时候根据策略路由将报文丢向网通端的出口。 在网通和电信的DNS都对同一个域名做了双IP绑定： 所以综上所述，要实现电信用户访问服务器走电信链路，网通用户访问服务器走网通线路的唯一做法还是需要在DNS域名解析处做手脚。 其实如果不做第二个策略路由会导致的结果就是，电信用户访问服务器只能走电信线路。因为如果电信访问服务器走网通