4.4 工作任务四 双链路接入Internet
【任务分析】
由于多链路解决方案能够提供更好地可用性和性能,多链路(Multi-Homing)解决方案可以避免Internet接入中断所造成的损失。
【任务要求】
任务名称 | Leader职业学院双链路接入Internet规划与配置实施 |
任务目标 | 实现不同校内流量走不同的网络出口 |
学习方式与工具 | 计算机、交换机、路由器 |
相关知识 | 多链路接入规划、策略路由、NAT(网络地址转换) |
工作任务 | (1)双链路接入规划 (2)策略路由配置 (3)nat配置 |
完成任务和成果 | 各设备配置文件 |
4.4.1双链路接入Internet方案设计及部署
保证Internet接入的稳定性对于校园网来说是重要的。采用一条Internet接入,也就是说使用一个ISP的链路无法保证它提供的Internet链路的持续可用性,从而可能导致Internet访问和web服务器的中断,而中断带来的影响是不可估量的。多链路冗余起到在多个运营商之间故障的转移,但是网络边界设备作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断,引起单点故障影响业务正常运行。因此在网络接入点部署多台设备形成备份/冗余是非常必要的,其中一台设备发生故障时,数据便会切换到另外一台设备上继续传输,而且还可以做设备性能的叠加增强。双链路接入Internet拓扑连接如图4-3所示。
4.4.2策略路由配置管理
1.策略路由的作用
三层设备在转发数据包时一般都基于数据包的目的地址,策略路由可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。策略路由一般针对的是接口入(in)方向的数据包。
2.策略路由的基本配置
1)启用策略路由,进入route-map配置模式
命令格式:Router(config)#route-mapmap-namepermit/denysequence-number
Router(config-route-map)#
参数sequence-number为规则序列号,范围为[0-655335]。
(2)使用match语句定义感兴趣的流量,如果不定义则指全部流量
命令格式:
Router(config-route-map)#match ip addressaccess-list-number|name [access-list-number|name]!匹配access-list所指定的目标IP地址的路由,可匹配多个access-list列表
Router(config-route-map)#match interface type number!匹配指定的下一跳路由器的接口的路由
Router(config-route-map)#match ip next-hop access-list-number|name [access-list-number|name]!匹配access-list所指定的下一跳路由器地址的路由
Router(config-route-map)#match ip route-source access-list-number|name [access-list-number|name] !匹配access-list所指定的路由器所宣告的路由
Router(config-route-map)#match length {min} {max} !匹配数据包的长度
使用set命令设置数据包行为
命令格式:
Router(config-route-map)#set ip precedence [number name] !为匹配成功的IP数据包设置服务类型(Type of Service,ToS)的优先级
Router(config-route-map)#set ip next-hop ip-address [ip-address]!为匹配成功的路由指定下一跳地址,可多个ip地址
Router(config-route-map)#set ip default next-hopip-address [ip-address] !当路由表中找不到精确匹配路由时,为匹配成功的数据指定下一跳地址
Router(config-route-map)#set interfaceinterface-type interface-number [type number] !当存在指向目标网络的显式路由的时候,为匹配成功的数据包设置出口接口
Router(config-route-map)#set default interfaceinterface-type interface-number [type number]!当不存在指向目标网络的显式路由(explicit route)的时候,为匹配成功的数据包设置出口接口
以上命令格式中[]内容均为可选项。这里要注意set ip next-hop与set ip default next-hop、set interface与set default interface这两对语句的区别,不含default的语句,是不查询路由表就转发数据包到下一跳IP或接口,而含有default的语句是先查询路由表,在找不到精确匹配的路由条目时,才转发数据包到default语句指定的下一跳IP或接口。
(4)在接口应用所定义的策略
命令格式:Router(config-if)#ip policy route-mapmap-name
注意必须在定义好相关的route-map后才能在接口上使用该route-map,在接口启用route-map策略。
3.本项目策略路由配置
为了保证校园网内办公图书楼以及教学实训楼流量可以访问教育网免费资源,而其他流量或访问资源均通过ISP访问,需要在核心交换机cat4500E-1和cat4500E-2上配置NAT和策略路由。
网络拓扑图见4-3。172.17.16.0/21、172.17.24.0/21和172.17.32.0/21是校园网内部地址,其中172.17.160/21为办公图书楼网络、172.17.24.0/21.为教学实训楼网络、172.17.32.0/21为学生宿舍楼网络;202.110.33.0/24表示ISP的地址,101.220.22.0/24表示cernet公网地址,ISP出口设备的内口ip地址为172.17.0.1/30,cernet出口设备内口ip地址为172.17.1.1/30。
交换机cat4500E-1上的配置
!配置校园网内访问教育网资源的访问控制列表
access-list 110 permit ip 172.17.16.0 0.0.7.255 any
access-list 110 permit ip 172.17.24.0 0.0.7.255 any
access-list 110 deny ip any any
!配置基于所有教育网的国内站点(免费流量)的访问控制列表
access-list 112 permit ip any 61.140.0.0 252.252.0.0
access-list 112 permit ip any 61.149.0.0 252.255.0.0
... ...
access-list 112 permit ip any 211.152.0.0 252.255.128.0
access-list 112 permit ip any 211.167.64.0 252.255.192.0
access-list 112 permit ip any 211.167.128.0 252.255.224.0
access-list 112 permit ip any 211.167.192.0 252.255.192.0
access-list 112 deny ip any any
!配置策略路由,特定网段的所有流量都经由cernet出口设备到教育网,其它的流量经ISP出口设备到Internet
route-map policy1 permit 10 !定义策略路由policy1,用于实现负载分担和备份
match ip address 110 !匹配访问列表110,办公图书楼以及教学实训楼流量
match ip address 112 !同时匹配列表112,目标地址为教育网免费资源
set ip nest-hop 172.17.2.1 !设置下一跳为171.17.2.1,即cernet出口设备与cat4500E-1的连接口
set ip default next-hop 172.17.0.1 !如果cat4500E-1和cernet出口设备之间的链路down掉了,就使用默认的下一跳,也就是ISP出口设备
route-map policy1 permit 20 !不满足序列号10规则的,就匹配序列号20规则
set ip next–hop 172.17.0.1 !除办公图书楼、教学实训楼外的流量,则下一跳为ISP出口设备
set ip default next-hop 172.17.2.1 !如果cat4500E-1和ISP出口设备之间的链路down掉了,就使用默认的下一跳,也就是cernet出口设备
!完全保证没有非授权流量从Cernet流出,应当把中国教育科研网的免费地址访问控制列表(即上文中的 access–list 112访问控制列表)应用连接到cernet出口设备的端口。
Ip access-group 112
!将提供负载均衡和备份的路由策略应用于cat4500E-1的内网入接口。
Ip policy route-map policy1
(2)ISP出口设备配置
interface f0/0
ip address 172.17.0.1 255.255.255.252
ip nat inside
ip nat pool my-isp 202.110.33.10 202.110.33.40 !设置对外访问地址
ip nat inside source route-map ISP-a pool my-isp overload
access-list 111 permit ip 172.17.0.0 0.0.255.255 any !指定NAT范围
route-map ISP-a permit 10 !源地址为局域网内所有地址且匹配s0/0口路由的策略
match ip address 111
match interface s0/0
interface f0/1
ip address 172.17.3.1 255.255.255.252
ip nat inside
interface s0/0
ip address 202.110.33.1 255.255.255.252
ip nat outside
ip route 0.0.0.0 0.0.0.0 202.110.33.2 !配置默认路由
3)cernet出口设备配置
interface f0/0
ip address 172.17.1.1 255.255.255.252
interface f0/1
ip address 172.17.2.2 255.255.255.252
ip nat inside
ip nat pool my-edu 101.220.22.20 101.220.22.30 !设置对外访问地址
ip nat inside source route-map cernet-a pool my-edu overload
access-list 110 permit ip 172.17.16.0 0.0.7.255 any
access-list 110 permit ip 172.17.24.0 0.0.7.255 any
access-list 110 deny ip any any
access-list 112 permit ip any 61.140.0.0 255.252.0.0
access-list 112 permit ip any 61.149.0.0 255.252.0.0
... ...
access-list 112 permit ip any 211.152.0.0 255.252.128.0
access-list 112 permit ip any 211.67.64.0 255.252.192.0
access-list 112 permit ip any 211.167.128.0 255.252.224.0
access-list 112 permit ip any 211.167.192.0 255.252.192.0
access-list 112 permit ip any any
route–map cernet-a permit 10 !同时满足源地址为172.17.16.0和172.17.24.0,且目的地址为教育网免费资源的策略
match ip address 110
match ip address 112
interfaces0/0
ip address 101.220.22.1 255.255.255.252
ip nat outside
ip route 61.140.0.0 255.252.0.0 101.220.22.2!对于所有教育网的国内站点(免费流量)设置静态路由,指向教育网Cernet。
ip route 61.149.0.0 255.255.0.0 101.220.22.2
ip route 137.189.0.0 255.255.0.0 101.220.22.2
... ...
ip route 211.152.0.0 255.255.128.0 101.220.22.2
ip route 211.167.64.0 255.255.192.0 101.220.22.2
ip route 211.167.128.0 255.255.224.0 101.220.22.2
ip route 211.167.192.0 255.255.192.0 101.220.22.2
【任务归纳】
通过本任务的学习与实践,掌握双出口设计中策略路由的使用及相关配置,策略路由的工作原理。
