針對兩個網際網路連線使用最佳化邊緣路由的IOS NAT負載平衡

下載選項

  • PDF     (323.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (165.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (180.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2007 年 11 月 15 日
文件 ID:99427

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔描述了Cisco IOS®路由器通過兩個ISP連線進行網路地址轉換將網路連線到Internet的配置。如果有到達給定目標的等價路由,Cisco IOS軟體網路地址轉換(NAT)可以通過多個網路連線分發後續的TCP連線和UDP會話。當其中一個連線變得不可用時,最佳化邊緣路由(OER)的一個元件對象跟蹤可用於停用該路由,直到該連線再次可用,這樣可以保證網路可用性,而不管網際網路連線是否不穩定或不可靠。

ios-nat-2isp-1.gif

必要條件

需求

本檔案假設您有正常運作的LAN和WAN連線;它不提供用於建立初始連線的配置或故障排除背景。

  1. 本文檔沒有描述區分路由的方法,因此沒有方法優先使用更期望的連線而不是不太期望的連線。

  2. 本文檔介紹根據ISP的DNS伺服器的可達性啟用或禁用Internet路由的OER配置。您需要確定只能通過其中一個ISP連線到達、並且如果ISP連線不可用則無法訪問的特定主機。

採用元件

此配置是使用Cisco 1811路由器和12.4(15)T Advanced IP Services軟體開發的。如果使用不同的軟體版本,則某些功能可能不可用,或者配置命令可能與本文檔中顯示的有所不同。所有Cisco IOS路由器平台上都有類似的配置,不過介面配置可能因平台不同而不同。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例。

設定

您可能需要為特定流量新增基於策略的路由,以確保它始終使用一個ISP連線。需要此行為的流量示例包括IPSec VPN客戶端、VoIP手持裝置,以及僅使用其中一個ISP連線選項以在連線上優先使用相同IP地址、較高速度或較低延遲的任何其他流量。

註:使Command Lookup Tool(僅限註冊客戶)查詢有關本文檔中使用的命令的更多資訊。

網路圖表

本檔案會使用以下網路設定:

ios-nat-2isp-2.gif

組態

如網路圖所示,此配置示例描述了一個接入路由器,該路由器使用到一個ISP的DHCP配置IP連線(如FastEthernet 0所示),以及通過另一個ISP連線的PPPoE連線。除非對象跟蹤和OER和/或基於策略的路由與DHCP分配的Internet連線一起使用,否則連線型別對配置沒有特殊影響。在這些情況下,很難為策略路由或OER定義下一跳路由器。

路由器配置示例 
track timer interface 5
!
! Configure timers on route tracking
!
track 123 rtr 1 reachability
 delay down 15 up 10
!
track 345 rtr 2 reachability
 delay down 15 up 10
!
! Use “ip dhcp client route track [number]” 
   ! to monitor route on DHCP interfaces
! Define ISP-facing interfaces with “ip nat outside”
!
interface FastEthernet0
 ip address dhcp
 ip dhcp client route track 345
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet1
 no ip address
 pppoe enable
 no cdp enable
!
interface FastEthernet2
 no cdp enable
!
interface FastEthernet3
 no cdp enable
!
interface FastEthernet4
 no cdp enable
!
interface FastEthernet5
 no cdp enable
!
interface FastEthernet6
 no cdp enable
!
interface FastEthernet7
 no cdp enable
!
interface FastEthernet8
 no cdp enable
!
interface FastEthernet9
 no cdp enable
!
! Define LAN-facing interfaces with “ip nat inside”
!
interface Vlan1
 description LAN Interface
 ip address 192.168.108.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
! Define ISP-facing interfaces with “ip nat outside”
!
Interface Dialer 0
 description PPPoX dialer
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 ip tcp adjust-mss
!
ip route 0.0.0.0 0.0.0.0 dialer 0 track 123
!
! Configure NAT overload (PAT) to use route-maps
!
ip nat inside source route-map fixed-nat
   interface Dialer0 overload
ip nat inside source route-map dhcp-nat 
   interface FastEthernet0 overload
!
! Configure an OER tracking entry 
   ! to monitor the first ISP connection
!
ip sla 1
 icmp-echo 172.16.108.1 source-interface Dialer0
 timeout 1000
 threshold 40
 frequency 3
!
! Configure a second OER tracking entry 
   ! to monitor the second ISP connection
!
ip sla 2
 icmp-echo 172.16.106.1 source-interface FastEthernet0
 timeout 1000
 threshold 40
 frequency 3
!
! Set the SLA schedule and duration
!
ip sla schedule 1 life forever start-time now
ip sla schedule 2 life forever start-time now
!
! Define ACLs for traffic that 
   ! will be NATed to the ISP connections
!
access-list 110 permit ip 192.168.108.0 0.0.0.255 any
!
! Route-maps associate NAT ACLs with NAT 
   ! outside on the ISP-facing interfaces
!
route-map fixed-nat permit 10
 match ip address 110
 match interface Dialer0
!
route-map dhcp-nat permit 10
 match ip address 110
 match interface FastEthernet0

使用DHCP分配的路由跟蹤:

DHCP分配的路由跟蹤配置示例(可選) 
interface FastEthernet0
 description Internet Intf
 ip dhcp client route track 123
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 speed 100
 full-duplex
 no cdp enable

驗證

使用本節內容,確認您的組態是否正常運作。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

  • show ip nat translation — 顯示NAT內部主機和NAT外部主機之間的NAT活動。此命令用於驗證內部主機是否被轉換為兩個NAT外部地址。 

    Router# sh ip nat tra
Pro Inside global      Inside local       Outside local      Outside global
tcp 172.16.108.44:54486 192.168.108.3:54486 172.16.104.10:22 172.16.104.10:22
tcp 172.16.106.42:49620 192.168.108.3:49620 172.16.102.11:80 172.16.102.11:80
tcp 172.16.108.44:1623 192.168.108.4:1623 172.16.102.11:445  172.16.102.11:445
Router#

  • show ip route — 驗證是否有多條通往Internet的路由。

    Router# sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, 
       L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, 
       U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.16.108.1 to network 0.0.0.0

C    192.168.108.0/24 is directly connected, Vlan1
     172.16.0.0/24 is subnetted, 2 subnets
C       172.16.108.0 is directly connected, 
        FastEthernet4
C       172.16.106.0 is directly connected, Vlan106
S*   0.0.0.0/0 [1/0] via 172.16.108.1
               [1/0] via 172.16.106.1
Router#

疑難排解

使用NAT配置Cisco IOS路由器後,如果連線不起作用,請確認以下各項:

  • NAT會適當地應用於外部和內部介面。

  • NAT配置已完成,ACL反映必須進行NAT處理的流量。

  • 提供多條通往網際網路/廣域網的路由。

  • 如果使用路由跟蹤確保Internet連線可用,請檢查路由跟蹤的狀態。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
15-Nov-2007
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您