使用基于区域的策略防火墙的IOSNAT负载平衡用于两个ISP-Cisco.PDFVIP

使用基于区域的策略防火墙的 IOS NAT 负载平衡 （用于两个 ISP 连接） 目录 简介 先决条件 要求 使用的组件 规则 配置 网络图 防火墙策略讨论 配置 验证 故障排除 相关信息 简介 本文为Cisco IOS路由器提供一配置示例连接网络到有网络地址转换(NAT)的互联网通过两ISP连接 。如果存在指向某个给定目标的等价路由，Cisco IOS 软件 NAT 可以将随后的 TCP 连接和 UDP 会 话分配到多个网络连接。 本文档还说明了另外一种应用 Cisco IOS 区域策略防火墙 (ZFW) 的配置，这种配置可添加状态检查 功能以加强 NAT 提供的基本网络保护。 先决条件 要求 本文档假定您使用 LAN 和 WAN 连接，因此不提供用于建立初始连接的配置或故障排除背景。本文 档不提供区分路由的方法，因此没有办法挑选比较满意的连接。 使用的组件 本文档中的信息以运行 12.4(15)T3 Advanced IP Services 软件的 Cisco 系列 1811 路由器为基准。 如果使用的是其他软件版本，有些功能可能不可用，配置命令也可能与本文档中所示有所不同。尽 管接口配置在不同的平台之间可能会有变化，但是类似的配置在所有 Cisco IOS 路由器平台上都是 可用的。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 您需要为特定数据流添加基于策略的路由，以确保该数据流始终使用同一个 ISP 连接。可能需要这 种行为的数据流示例包括：IPSec VPN 客户端，VoIP 电话数据流，以及仅使用一个 ISP 连接选项 以便在连接中获得相同 IP 地址、更高速度或更低延时的任何其他数据流。 网络图 本文档使用以下网络设置： 此配置示例说明的接入路由器对一个 ISP（显示为 FastEthernet 0）使用一个 DHCP 配置 IP 连接 ，对另一个 ISP 连接使用 PPPoE 连接。连接类型对配置没有特定的影响，但有些连接类型在特定 故障情况下可能会影响此配置的可用性。这种问题主要出现在通过连接以太网的 WAN 服务使用 IP 连接时，例如，电缆调制解调器或由附加设备终止 WAN 连接并为 Cisco IOS 路由器提供以太网移 交的 DSL 服务。在应用静态 IP 寻址的情况下（与 DHCP 分配地址或 PPPoE 相反），如果发生 WAN 故障，使得以太网端口仍保持与 WAN 连接设备的以太网链路，路由器将继续尝试对正常 WAN 连接和故障 WAN 连接进行连接负载均衡。如果您的部署要求从负载均衡中删除非活动路由 ，请参阅采用两个 Internet 连接的优化边缘路由的 Cisco IOS NAT 负载均衡和区域策略防火墙 ，该 文档说明如何添加优化的边缘路由以监控路由有效性。 防火墙策略讨论 此配置示例说明的防火墙策略允许建立从安全区域“内部”到安全区域“外部”的简单的 TCP、UDP 和 ICMP 连接，并且能够容纳出站 FTP 连接及主动和被动 FTP 传输的同等数据流量。无法由这种基 本策略进行处理的任何复杂应用数据流（例如，VoIP 信令和媒体）都可能导致能力下降，甚至可能 完全失败。此防火墙策略阻止从“公共”安全区域到“专用”安全区域的所有连接，包括 NAT 端口转发 所容纳的所有连接。如有必要，您需要调整防火墙检查策略以反映应用配置文件和安全策略。 如果对区域策略防火墙策略设计和配置有疑问，请参阅区域策略防火墙设计和应用指南。 配置 本文档使用以下配置： 配置 class-map type inspect match-any priv-pub-traffic match protocol ftp match protocol tcp match protocol udp match protocol icmp ! policy-map type inspect priv-pub-policy class type inspect priv-pub-traffic inspect class class-default ! zone security public zone security pr