IP : 网络地址转换 (NAT)

两条互联网连接的IOS NAT负载平衡,带优化的边缘路由

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述Cisco IOS�路由器的一配置能连接网络到有网络地址转换的互联网通过两ISP连接。如果等价路由对指定目的地是可用的, Cisco IOS软件网络地址转换(NAT)能分配随后的TCP连接和UDP会话在多个网络连接。在其中一连接变得不可用情况下,对象跟踪,组件优化边缘路由(OER),可以用于撤销路由,直到连接再变得可用,保证网络可用性竟管不稳定性或不确实互联网连接。

/image/gif/paws/99427/ios-nat-2isp-1.gif

先决条件

要求

本文假设,您有功能LAN和广域网联系;它不提供配置或故障排除背景设立初始连接。

  1. 本文不描述方式区分在路由之间,那么没有办法更喜欢在一少理想连接的一更多理想连接。

  2. 本文描述OER的配置启用或禁用根据ISP的DNS服务器的可接通性的任一互联网路由。您需要识别只是可及的通过一个ISP连接,并且不可以取得到的特定主机,如果该ISP连接不是可用的。

使用的组件

此配置用有12.4(15)T提前的IP服务软件的一个思科1811路由器开发。如果使用一个不同的软件版本,一些功能潜在不是可用的,或者配置命令能与在本文显示的那些有所不同。相似的配置是可用的在所有Cisco IOS路由器平台,虽然接口配置可能变化区别平台之间。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

您潜在需要特定的流量的添加基于策略的路由能保证总是使用一ISP连接。要求此行为流量的示例包括只使用一ISP连接选项更喜欢同样IP地址、更高的速度或者低延时在连接的IPSec VPN客户端、VoIP话筒和其他流量。

注意: 有关本文档所用命令的详细信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用以下网络设置:

/image/gif/paws/99427/ios-nat-2isp-2.gif

配置

此配置示例,如网络图所示,描述使用一个DHCP配置的IP连接对一个ISP的接入路由器(如显示由FastEthernet0)和在另一ISP连接的一PPPoE连接。除非对象跟踪和OER和基于策略的路由将与DHCP分配的互联网连接一起使用,连接类型没有在配置的特定的影响。在这些情况下,定义策略路由或OER的一个下一跳路由器可以是非常难的。

路由器配置示例
track timer interface 5
!
! Configure timers on route tracking
!
track 123 rtr 1 reachability
 delay down 15 up 10
!
track 345 rtr 2 reachability
 delay down 15 up 10
!
! Use “ip dhcp client route track [number]” 
   ! to monitor route on DHCP interfaces
! Define ISP-facing interfaces with “ip nat outside”
!
interface FastEthernet0
 ip address dhcp
 ip dhcp client route track 345
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet1
 no ip address
 pppoe enable
 no cdp enable
!
interface FastEthernet2
 no cdp enable
!
interface FastEthernet3
 no cdp enable
!
interface FastEthernet4
 no cdp enable
!
interface FastEthernet5
 no cdp enable
!
interface FastEthernet6
 no cdp enable
!
interface FastEthernet7
 no cdp enable
!
interface FastEthernet8
 no cdp enable
!
interface FastEthernet9
 no cdp enable
!
! Define LAN-facing interfaces with “ip nat inside”
!
interface Vlan1
 description LAN Interface
 ip address 192.168.108.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
! Define ISP-facing interfaces with “ip nat outside”
!
Interface Dialer 0
 description PPPoX dialer
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 ip tcp adjust-mss
!
ip route 0.0.0.0 0.0.0.0 dialer 0 track 123
!
! Configure NAT overload (PAT) to use route-maps
!
ip nat inside source route-map fixed-nat
   interface Dialer0 overload
ip nat inside source route-map dhcp-nat 
   interface FastEthernet0 overload
!
! Configure an OER tracking entry 
   ! to monitor the first ISP connection
!
ip sla 1
 icmp-echo 172.16.108.1 source-interface Dialer0
 timeout 1000
 threshold 40
 frequency 3
!
! Configure a second OER tracking entry 
   ! to monitor the second ISP connection
!
ip sla 2
 icmp-echo 172.16.106.1 source-interface FastEthernet0
 timeout 1000
 threshold 40
 frequency 3
!
! Set the SLA schedule and duration
!
ip sla schedule 1 life forever start-time now
ip sla schedule 2 life forever start-time now
!
! Define ACLs for traffic that 
   ! will be NATed to the ISP connections
!
access-list 110 permit ip 192.168.108.0 0.0.0.255 any
!
! Route-maps associate NAT ACLs with NAT 
   ! outside on the ISP-facing interfaces
!
route-map fixed-nat permit 10
 match ip address 110
 match interface Dialer0
!
route-map dhcp-nat permit 10
 match ip address 110
 match interface FastEthernet0 

使用DHCP分配的路由追踪:

DHCP分配的路由追踪配置示例(可选)
interface FastEthernet0
 description Internet Intf
 ip dhcp client route track 123
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 speed 100
 full-duplex
 no cdp enable

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • show ip nat translation — 显示 NAT 内部主机与 NAT 外部主机之间的 NAT 活动。此命令用于验证内部主机是否同时转换为两个 NAT 外部地址。

    Router# sh ip nat tra
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 172.16.108.44:54486 192.168.108.3:54486 172.16.104.10:22 172.16.104.10:22
    tcp 172.16.106.42:49620 192.168.108.3:49620 172.16.102.11:80 172.16.102.11:80
    tcp 172.16.108.44:1623 192.168.108.4:1623 172.16.102.11:445  172.16.102.11:445
    Router#
    
  • show ip route — 验证是否存在多个通往 Internet 的路由。

    Router# sh ip route
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, 
           L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, 
           U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    Gateway of last resort is 172.16.108.1 to network 0.0.0.0
    
    C    192.168.108.0/24 is directly connected, Vlan1
         172.16.0.0/24 is subnetted, 2 subnets
    C       172.16.108.0 is directly connected, 
            FastEthernet4
    C       172.16.106.0 is directly connected, Vlan106
    S*   0.0.0.0/0 [1/0] via 172.16.108.1
                   [1/0] via 172.16.106.1
    Router#
    

故障排除

使用 NAT 配置 Cisco IOS 路由器之后,如果连接无法正常工作,请验证以下各项:

  • 在外部和内部接口上正确应用了 NAT。

  • NAT 配置已完成,并且 ACL 反映了必须进行 NAT 处理的流量。

  • 存在多个通往 Internet/WAN 的路由。

  • 如果使用路由追踪肯定互联网连接是可用的,请检查路由追踪的状态。


相关信息


Document ID: 99427