Протокол IP : Технология NAT

Распределение нагрузки и брандмауэр зональных политик NAT IOS с оптимизированной граничной маршрутизацией для двух подключений к Интернету

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (11 августа 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает конфигурацию для Cisco маршрутизатор IOS� для соединения сети с Интернетом с Трансляцией сетевых адресов посредством двух подключений ISP. Преобразование сетевых адресов ПО Cisco IOS может распределить последующие соединения TCP и сеансы UDP по нескольким сетевым соединениям, если для данного пункта доступны маршруты равной стоимости. Если использование одного из соединений становится невозможным, то можно применить функцию отслеживания объектов, компонент OER (оптимизированная маршрутизация граничного уровня) для отключения маршрута до тех пор, пока соединение не станет снова доступным. Это гарантирует доступность сети, несмотря на неустойчивость и ненадежность соединения с Интернетом.

/image/gif/paws/99427/ios-nat-2isp-1.gif

Предварительные условия

Требования

Данный документ предполагает наличие функциональных подключений к LAN и WAN; в документе не представлены базовые сведения о конфигурации и устранении неполадок для установки первоначального подключения.

  1. В данном документе не описано, как различать маршруты, поэтому здесь не предлагается способ предпочесть более желательное соединение менее желательному.

  2. В данном примере описана конфигурация OER для активизации или блокировки Интернет-маршрута на основе доступности серверов DNS поставщиков ISP. Необходимо определить особые хосты, которые могут быть доступны только через одно из соединений с ISP и не могут быть доступны, если данное соединение с ISP недоступно.

Используемые компоненты

Данная конфигурация разработана с использованием маршрутизатора Cisco 1811 и ПО Advanced IP Services версии 12.4(15)T. Если используется другая версия ПО, некоторые функции могут быть недоступны, или команды конфигурации могут отличаться от команд в документе. Идентичная конфигурация доступна на всех платформах маршрутизаторов Cisco IOS, хотя конфигурация интерфейса отличается в различных платформах.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

Может потребоваться добавить маршрутизацию на основе политики для особого трафика, чтобы обеспечить использование им только одного соединения с ISP. Примеры трафика, для которого необходим данный режим, включают в себя трафик клиентов IPSec VPN, телефонных трубок VoIP и любой другой трафик, для которого используется только один из параметров соединения с ISP для указания предпочтения использования одного и того же IP-адреса, более высокой скорости или более низкой задержки при подключении.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/99427/ios-nat-2isp-2.gif

Конфигурации

В данном примере конфигурации, как показано в схеме сети, описан доступ к маршрутизатору, который использует IP-подключение с поддержкой конфигурации DHCP к одному ISP (обозначен как FastEthernet 0) и подключение PPPoE через другое соединение с ISP. Типы подключений не имеют особого влияния на конфигурацию до тех пор, пока функция отслеживания объекта и маршрутизация OER и/или маршрутизация на основе политики не будет использоваться в соединении Интернет, назначенным DHCP. В данном случае очень трудно определить маршрутизатор следующего перехода для маршрутизации политики или OER.

Пример конфигурации маршрутизатора
track timer interface 5
!
! Configure timers on route tracking
!
track 123 rtr 1 reachability
 delay down 15 up 10
!
track 345 rtr 2 reachability
 delay down 15 up 10
!
! Use “ip dhcp client route track [number]” 
   ! to monitor route on DHCP interfaces
! Define ISP-facing interfaces with “ip nat outside”
!
interface FastEthernet0
 ip address dhcp
 ip dhcp client route track 345
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet1
 no ip address
 pppoe enable
 no cdp enable
!
interface FastEthernet2
 no cdp enable
!
interface FastEthernet3
 no cdp enable
!
interface FastEthernet4
 no cdp enable
!
interface FastEthernet5
 no cdp enable
!
interface FastEthernet6
 no cdp enable
!
interface FastEthernet7
 no cdp enable
!
interface FastEthernet8
 no cdp enable
!
interface FastEthernet9
 no cdp enable
!
! Define LAN-facing interfaces with “ip nat inside”
!
interface Vlan1
 description LAN Interface
 ip address 192.168.108.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
! Define ISP-facing interfaces with “ip nat outside”
!
Interface Dialer 0
 description PPPoX dialer
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 ip tcp adjust-mss
!
ip route 0.0.0.0 0.0.0.0 dialer 0 track 123
!
! Configure NAT overload (PAT) to use route-maps
!
ip nat inside source route-map fixed-nat
   interface Dialer0 overload
ip nat inside source route-map dhcp-nat 
   interface FastEthernet0 overload
!
! Configure an OER tracking entry 
   ! to monitor the first ISP connection
!
ip sla 1
 icmp-echo 172.16.108.1 source-interface Dialer0
 timeout 1000
 threshold 40
 frequency 3
!
! Configure a second OER tracking entry 
   ! to monitor the second ISP connection
!
ip sla 2
 icmp-echo 172.16.106.1 source-interface FastEthernet0
 timeout 1000
 threshold 40
 frequency 3
!
! Set the SLA schedule and duration
!
ip sla schedule 1 life forever start-time now
ip sla schedule 2 life forever start-time now
!
! Define ACLs for traffic that 
   ! will be NATed to the ISP connections
!
access-list 110 permit ip 192.168.108.0 0.0.0.255 any
!
! Route-maps associate NAT ACLs with NAT 
   ! outside on the ISP-facing interfaces
!
route-map fixed-nat permit 10
 match ip address 110
 match interface Dialer0
!
route-map dhcp-nat permit 10
 match ip address 110
 match interface FastEthernet0 

С отслеживанием маршрута назначенного DHCP:

Пример конфигурации с отслеживанием маршрута назначенного DHCP (дополнительно)
interface FastEthernet0
 description Internet Intf
 ip dhcp client route track 123
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 speed 100
 full-duplex
 no cdp enable

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show ip nat translation — отображает активность NAT между внутренними и внешними хостами NAT. Данная команда предоставляет подтверждение, что внутренние хосты переводятся на внешние адреса NAT.

    Router# sh ip nat tra
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 172.16.108.44:54486 192.168.108.3:54486 172.16.104.10:22 172.16.104.10:22
    tcp 172.16.106.42:49620 192.168.108.3:49620 172.16.102.11:80 172.16.102.11:80
    tcp 172.16.108.44:1623 192.168.108.4:1623 172.16.102.11:445  172.16.102.11:445
    Router#
    
  • show ip route – проверяет доступность нескольких маршрутов к Интернету.

    Router# sh ip route
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, 
           L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, 
           U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    Gateway of last resort is 172.16.108.1 to network 0.0.0.0
    
    C    192.168.108.0/24 is directly connected, Vlan1
         172.16.0.0/24 is subnetted, 2 subnets
    C       172.16.108.0 is directly connected, 
            FastEthernet4
    C       172.16.106.0 is directly connected, Vlan106
    S*   0.0.0.0/0 [1/0] via 172.16.108.1
                   [1/0] via 172.16.106.1
    Router#
    

Устранение неполадок

Если соединения не работают после настройки маршрутизатора Cisco IOS с помощью NAT, убедитесь, что:

  • NAT применяется соответствующим образом на внешних и внутренних интерфейсах.

  • Конфигурация NAT выполнена, а списки ACL отображают трафик, для которого необходимо преобразование сетевых адресов.

  • Доступны несколько маршрутов к Интернету/WAN.

  • Во время процесса отслеживания маршрутов убедитесь, что соединения с Интернет доступны. Проверьте состояние отслеживания маршрутов.


Дополнительные сведения


Document ID: 99427