Распределение нагрузки и брандмауэр зональных политик NAT IOS с оптимизированной граничной маршрутизацией для двух подключений к Интернету
Содержание
Введение
В этом документе описана конфигурация маршрутизатора Cisco IOS® для подключения сети к Интернету с помощью преобразования сетевых адресов с использованием двух соединений с ISP. Преобразование сетевых адресов ПО Cisco IOS может распределить последующие соединения TCP и сеансы UDP по нескольким сетевым соединениям, если для данного пункта доступны маршруты равной стоимости. Если использование одного из соединений становится невозможным, то можно применить функцию отслеживания объектов, компонент OER (оптимизированная маршрутизация граничного уровня) для отключения маршрута до тех пор, пока соединение не станет снова доступным. Это гарантирует доступность сети, несмотря на неустойчивость и ненадежность соединения с Интернетом.
Предварительные условия
Требования
Данный документ предполагает наличие функциональных подключений к LAN и WAN; в документе не представлены базовые сведения о конфигурации и устранении неполадок для установки первоначального подключения.
-
В данном документе не описано, как различать маршруты, поэтому здесь не предлагается способ предпочесть более желательное соединение менее желательному.
-
В данном примере описана конфигурация OER для активизации или блокировки Интернет-маршрута на основе доступности серверов DNS поставщиков ISP. Необходимо определить особые хосты, которые могут быть доступны только через одно из соединений с ISP и не могут быть доступны, если данное соединение с ISP недоступно.
Используемые компоненты
Данная конфигурация разработана с использованием маршрутизатора Cisco 1811 и ПО Advanced IP Services версии 12.4(15)T. Если используется другая версия ПО, некоторые функции могут быть недоступны, или команды конфигурации могут отличаться от команд в документе. Идентичная конфигурация доступна на всех платформах маршрутизаторов Cisco IOS, хотя конфигурация интерфейса отличается в различных платформах.
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Условные обозначения
Настройка
Может потребоваться добавить маршрутизацию на основе политики для особого трафика, чтобы обеспечить использование им только одного соединения с ISP. Примеры трафика, для которого необходим данный режим, включают в себя трафик клиентов IPSec VPN, телефонных трубок VoIP и любой другой трафик, для которого используется только один из параметров соединения с ISP для указания предпочтения использования одного и того же IP-адреса, более высокой скорости или более низкой задержки при подключении.
Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).
Схема сети
В настоящем документе используется следующая схема сети:
Конфигурации
В данном примере конфигурации, как показано в схеме сети, описан доступ к маршрутизатору, который использует IP-подключение с поддержкой конфигурации DHCP к одному ISP (обозначен как FastEthernet 0) и подключение PPPoE через другое соединение с ISP. Типы подключений не имеют особого влияния на конфигурацию до тех пор, пока функция отслеживания объекта и маршрутизация OER и/или маршрутизация на основе политики не будет использоваться в соединении Интернет, назначенным DHCP. В данном случае очень трудно определить маршрутизатор следующего перехода для маршрутизации политики или OER.
| Пример конфигурации маршрутизатора |
|---|
track timer interface 5 ! ! Configure timers on route tracking ! track 123 rtr 1 reachability delay down 15 up 10 ! track 345 rtr 2 reachability delay down 15 up 10 ! ! Use “ip dhcp client route track [number]” ! to monitor route on DHCP interfaces ! Define ISP-facing interfaces with “ip nat outside” ! interface FastEthernet0 ip address dhcp ip dhcp client route track 345 ip nat outside ip virtual-reassembly ! interface FastEthernet1 no ip address pppoe enable no cdp enable ! interface FastEthernet2 no cdp enable ! interface FastEthernet3 no cdp enable ! interface FastEthernet4 no cdp enable ! interface FastEthernet5 no cdp enable ! interface FastEthernet6 no cdp enable ! interface FastEthernet7 no cdp enable ! interface FastEthernet8 no cdp enable ! interface FastEthernet9 no cdp enable ! ! Define LAN-facing interfaces with “ip nat inside” ! interface Vlan1 description LAN Interface ip address 192.168.108.1 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! ! Define ISP-facing interfaces with “ip nat outside” ! Interface Dialer 0 description PPPoX dialer ip address negotiated ip nat outside ip virtual-reassembly ip tcp adjust-mss ! ip route 0.0.0.0 0.0.0.0 dialer 0 track 123 ! ! Configure NAT overload (PAT) to use route-maps ! ip nat inside source route-map fixed-nat interface Dialer0 overload ip nat inside source route-map dhcp-nat interface FastEthernet0 overload ! ! Configure an OER tracking entry ! to monitor the first ISP connection ! ip sla 1 icmp-echo 172.16.108.1 source-interface Dialer0 timeout 1000 threshold 40 frequency 3 ! ! Configure a second OER tracking entry ! to monitor the second ISP connection ! ip sla 2 icmp-echo 172.16.106.1 source-interface FastEthernet0 timeout 1000 threshold 40 frequency 3 ! ! Set the SLA schedule and duration ! ip sla schedule 1 life forever start-time now ip sla schedule 2 life forever start-time now ! ! Define ACLs for traffic that ! will be NATed to the ISP connections ! access-list 110 permit ip 192.168.108.0 0.0.0.255 any ! ! Route-maps associate NAT ACLs with NAT ! outside on the ISP-facing interfaces ! route-map fixed-nat permit 10 match ip address 110 match interface Dialer0 ! route-map dhcp-nat permit 10 match ip address 110 match interface FastEthernet0 |
С отслеживанием маршрута назначенного DHCP:
| Пример конфигурации с отслеживанием маршрута назначенного DHCP (дополнительно) |
|---|
interface FastEthernet0 description Internet Intf ip dhcp client route track 123 ip address dhcp ip nat outside ip virtual-reassembly speed 100 full-duplex no cdp enable |
Проверка
Этот раздел позволяет убедиться, что конфигурация работает правильно.
Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.
-
show ip nat translation — отображает активность NAT между внутренними и внешними хостами NAT. Данная команда предоставляет подтверждение, что внутренние хосты переводятся на внешние адреса NAT.
Router# sh ip nat tra Pro Inside global Inside local Outside local Outside global tcp 172.16.108.44:54486 192.168.108.3:54486 172.16.104.10:22 172.16.104.10:22 tcp 172.16.106.42:49620 192.168.108.3:49620 172.16.102.11:80 172.16.102.11:80 tcp 172.16.108.44:1623 192.168.108.4:1623 172.16.102.11:445 172.16.102.11:445 Router#
-
show ip route – проверяет доступность нескольких маршрутов к Интернету.
Router# sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 172.16.108.1 to network 0.0.0.0 C 192.168.108.0/24 is directly connected, Vlan1 172.16.0.0/24 is subnetted, 2 subnets C 172.16.108.0 is directly connected, FastEthernet4 C 172.16.106.0 is directly connected, Vlan106 S* 0.0.0.0/0 [1/0] via 172.16.108.1 [1/0] via 172.16.106.1 Router#
Устранение неполадок
Если соединения не работают после настройки маршрутизатора Cisco IOS с помощью NAT, убедитесь, что:
-
NAT применяется соответствующим образом на внешних и внутренних интерфейсах.
-
Конфигурация NAT выполнена, а списки ACL отображают трафик, для которого необходимо преобразование сетевых адресов.
-
Доступны несколько маршрутов к Интернету/WAN.
-
Во время процесса отслеживания маршрутов убедитесь, что соединения с Интернет доступны. Проверьте состояние отслеживания маршрутов.
Обратная связь