用route-map进行双ISP接入,完美实现负载负载均衡相互备份和策略路由(DOC32页).doc

上传人：牧羊曲112

文档编号：1714547

上传时间：2022-12-15

格式：DOC

页数：32

大小：257.50KB

《用route-map进行双ISP接入,完美实现负载负载均衡相互备份和策略路由(DOC32页).doc》由会员分享，可在线阅读，更多相关《用route-map进行双ISP接入,完美实现负载负载均衡相互备份和策略路由(DOC32页).doc（32页珍藏版）》请在三一办公上搜索。

1、用route-map进行双ISP接入，完美实现负载负载均衡相互备份和策略路由(原创)在本人上一篇文章用route-map进行双ISP接入，并实现负载负载均衡相互备份和策略路由里，其中有一点点不是非常完美的地方，当网关路由器接口出现问题可以正常切换，但是如果是ISP出现了问题，则会出现不能切换问题，要解决这个问题，我们需要利用思科ip sla工具才解决，ip sla简单工作原理就是利用某种协议测试对方网络设备的连通性，最常见是icmp协议，如果对方设备响应表示线路正常，路由生效，如果对方设备不响应表示线路不正常，路由失效。为了保证园区或企业内部连接到Internet网络的高可用性，通常我们会使用

2、双线接入（比如：电信，网通两个ISP提供的网络）。并部署相关的策略，在一条线路失效后，能快速切换到另外一条可用线路。而且在双线都正常使用时，实现负载均衡。根据目前来讲，进行策略路由方法大概有几下几种：一、根据源地址策略路由二、根据目的地址策略路由三、根据源端口策略路由四、根据目的端口策略路由在实际工作环境中，特别是网吧，一般采用两条光纤接入，一条接电信光纤，一条接网通光纤，如采用方法一进行策略路由，明显有几个不好的弊端，负载不均衡，有可能导致一条光纤负载大，一条负载小，还会导致访问网站（或游戏）的速度不理想，明明网游服务器在网通，可是数据包却从电信光纤出口出去，导致访问速度下降。方法三和四都有

3、缺陷。只有方法二是工程中常用的方案，我们需要的是当访问电信网站时从电信光纤接口出去，当访问网通网站时从网通光纤接口出去，如果电信光纤接口出现问题，就从网通光纤出口出去，反之溢然，达到一个备份效果。实验要求：一、内网1和内网2要访问电信网络时，走电信出口（S1/0口），实现策略路由，提高网速。二、内网1和内网2要访问网通网络时，走网通出口（S1/1口），实现策略路由，提高网速。三、当电信光纤出现问题时，内网1和内网2走网通出口，当电信光纤恢复正常时，走电信出口，以达到备份的目的。四、当网通光纤出现问题时，内网1和内网2走电信出口，当电信光纤恢复正常时，走网通出口，以达到备份的目的。网络接口以及I

4、P地址配置具体看拓扑图，Isp1路由器是用来模拟电信，环回口用来模拟网段，网段有：20.20.10.0 20.20.20.0 20.20.30.0共三个网段。Isp2路由器是用来模拟网通，环回口用来模拟网段，网段有：220.220.1.0 220.220.2.0 220.220.3.0共三个网段。下面开始具体配置。ISP1（模拟电信路由器）配置：hostname isp1interface Loopback0ip address 20.20.10.1 255.255.255.0!interface Loopback1ip address 20.20.20.1 255.255.255.0! in

5、terface Loopback2ip address 20.20.30.1 255.255.255.0!interface Serial0/0ip address 100.100.100.2 255.255.255.0serial restart-delay 0!interface Serial0/1ip address 60.0.0.1 255.255.255.0serial restart-delay 0router bgp 1bgp log-neighbor-changesnetwork 20.20.10.0 mask 255.255.255.0network 20.20.20.0 m

6、ask 255.255.255.0network 20.20.30.0 mask 255.255.255.0network 60.0.0.0 mask 255.255.255.0network 100.100.100.0 mask 255.255.255.0neighbor 60.0.0.2 remote-as 2注：两个ISP之间采用BGP路由，电信BGP自治系统号为1，环回口用来模拟电信的各个网段。ISP2（模拟电信路由器）配置：hostname isp2interface Loopback0ip address 220.220.1.1 255.255.255.0!interface Lo

7、opback1ip address 220.220.2.1 255.255.255.0! interface Loopback2ip address 220.220.3.1 255.255.255.0!interface Serial0/0ip address 200.200.200.2 255.255.255.0serial restart-delay 0!interface Serial0/1ip address 60.0.0.2 255.255.255.0serial restart-delay 0router bgp 2bgp log-neighbor-changesnetwork 6

8、4.0.0.0 mask 255.255.255.0network 200.200.200.0network 220.220.1.0network 220.220.2.0network 220.220.3.0neighbor 60.0.0.1 remote-as 1注：两个ISP之间采用BGP路由，网通BGP自治系统号为2，环回口用来模拟电信的各个网段。Lan1(内网1)配置：hostname lan1interface Ethernet0/0ip address 192.168.1.2 255.255.255.0ip route 0.0.0.0 0.0.0.0 192.168.1.1Lan2

9、(内网2)配置：hostname lan1interface Ethernet0/0ip address 192.168.2.2 255.255.255.0ip route 0.0.0.0 0.0.0.0 192.168.2.1网关路由器基本配置：hostname natinterface Serial1/0ip address 100.100.100.1 255.255.255.0注：连接电信接口interface Serial1/1ip address 200.200.200.1 255.255.255.0注：连接网通接口interface Ethernet2/0ip address 19

10、2.168.1.1 255.255.255.0注：连接内网1接口interface Ethernet2/1ip address 192.168.2.1 255.255.255.0注：连接内网2接口ip route 0.0.0.0 0.0.0.0 100.100.100.2ip route 0.0.0.0 0.0.0.0 200.200.200.2下面是关键配置：ip access-list extended isp1permit ip any 20.20.10.0 0.0.0.255permit ip any 20.20.20.0 0.0.0.255permit ip any 20.20.30

11、.0 0.0.0.255permit ip any 60.0.0.0 0.0.0.255permit ip any 100.100.100.0 0.0.0.255permit ip any 200.200.200.0 0.0.0.255注：名为ISP1的访问列表有两个作用：一、把去往电信方向的网段挑选出来，等下NAT会调用，去往电信方向NAT就会转换公网地址为100.100.100.1。二、策略路由时调用，去往电信方向，指出他的下一跳是电信出口。ip access-list extended isp2permit ip any 220.220.1.0 0.0.0.255permit ip an

12、y 220.220.2.0 0.0.0.255permit ip any 220.220.3.0 0.0.0.255permit ip any 60.0.0.0 0.0.0.255permit ip any 100.100.100.0 0.0.0.255permit ip any 200.200.200.0 0.0.0.255注：名为ISP2的访问列表有两个作用：一、把去往网通方向的网段挑选出来，等下NAT会调用，去往电信方向NAT就会转换公网地址为200.200.200.1。二、策略路由时调用，去往网通方向，指出他的下一跳是网通出口。Ip sla配置部分,ip sla主要用来判断去往电信或网

13、通的线路有没有出现问题，ip sla会每隔秒钟去ping一下网关地址，如果发现ping不通，则判断该线路有问题，数据包就会另外一条线路出去，达到一种自动切换的功能。ip sla 1icmp-echo 100.100.100.2 source-ip 100.100.100.1注：用网关路由器S1/0所在接口（电信接口）IP地址去ping其电信网关IP地址frequency 5注：ping的时间间隔为5秒钟一次。ip sla schedule 1 life forever start-time now注：计划调度时间为从现在开始的每一天。ip sla 2icmp-echo 200.200.200.

14、2 source-ip 200.200.200.1注：用网关路由器S1/1所在接口（网通接口）IP地址去ping其网通网关IP地址frequency 5注：ping的时间间隔为5秒钟一次。ip sla schedule 2 life forever start-time now注：计划调度时间为从现在开始的每一天。track 1 rtr 1 reachability注：追踪去往电信线路的可达性track 2 rtr 2 reachability注：追踪去往网通线路的可达性route-map load permit 10match ip address isp1set ip next-hop v

15、erify-availability 100.100.100.2 1 track 1set ip next-hop verify-availability 200.200.200.2 2 track 2注：策略路由名为load，track 1 匹配去往电信网段的，设置下一跳为电信网关并追踪其可达性，如果可达，这条语句生效，不可达，则不生效，并执行下一语句。Track 2设置下一跳为网通网关并追踪其可达性，如果可达，这条语句生效，不可达，则不生效，并执行下一语句。注意编号的顺号。route-map load permit 20match ip address isp2set ip next-ho

16、p verify-availability 200.200.200.2 1 track 2set ip next-hop verify-availability 100.100.100.2 2 track 1注： track 2 匹配去往网通网段的，设置下一跳为网通网关并追踪其可达性，如果可达，这条语句生效，不可达，则不生效，并执行下一语句。Track 1设置下一跳为电信网关并追踪其可达性，如果可达，这条语句生效，不可达，则不生效，并执行下一语句。route-map load permit 30set ip next-hop verify-availability 100.100.100.2

17、1 track 1set ip next-hop verify-availability 200.200.200.2 2 track 2注：这条语句可以不要，主要意思就是去往非电信和网通的数据包优先从电信接口出去，如果线路有问题，就从网通接口出去。route-map nat1 permit 10match ip address isp1match interface Serial1/0注：即要匹配去往电信的地址段，也要匹配出口为S1/0口（电信出口）。同时满足这两个条件，就给它做nat转换。route-map nat11 permit 10match ip address isp1match

18、interface Serial1/1注：即要匹配去往电信的地址段，也要匹配出口为S1/1口（网通出口）。同时满足这两个条件，就给它做nat转换。这条语句主要是做备份用的，当s1/0口DOWN掉时，这里就只有s1/1口可以用。route-map nat2 permit 10match ip address isp2match interface Serial1/1注：即要匹配去往网通的地址段，也要匹配出口为S1/1口（网通出口）。同时满足这两个条件，就给它做nat转换。route-map nat22 permit 10match ip address isp2match interface S

19、erial1/0注：即要匹配去往网通的地址段，也要匹配出口为S1/0口（电信出口）。同时满足这两个条件，就给它做nat转换。这条语句主要是做备份用的，当s1/1口DOWN掉时，这里就只有s1/0口可以用。route-map isp3 permit 10match ip address 1match interface Serial1/0注：如果要是访问即不是网通，也不是电信网段时，nat转换接口为s1/0(电信接口)。主语句，该语句可以不要。route-map isp33 permit 10match ip address 1match interface Serial1/1注：如果要是访问即

20、不是网通，也不是电信网段时，nat转换接口为s1/1(网通接口)，用来备份，默认是从电信出去，如果电信DOWN掉，这里只有从s1/1地址转换。该语句可以不要。interface Serial1/0ip nat outsideinterface Serial1/1ip nat outsideinterface Ethernet2/0ip nat insideip policy route-map loadinterface Ethernet2/1ip nat insideip policy route-map load注：在接口上应用策略路由。ip nat inside source route

21、-map nat1 interface Serial1/0 overload注：如果是去往电信网段，转换出口为s1/0口（电信接口）,正常去往电信时就拿S1/0公网地址进行转换。ip nat inside source route-map nat11 interface Serial1/1 overload注：如果是去往电信网段，转换出口为s1/1口（网通接口），作用就是当去往电信网段主接口s1/0 down掉，这时只有拿s1/1接口（网通接口）的公网地址进行转换。ip nat inside source route-map nat2 interface Serial1/1 overload注

22、：如果是去往网通网段，转换出口为s1/1口（网通接口）,正常去往网通时就拿S0/1公网地址进行转换。ip nat inside source route-map nat22 interface Serial1/0 overload注：如果是去往网通网段，转换出口为s1/0口（电信接口），作用就是当去往网通网段主接口s1/1 down掉，这时只有拿s1/0接口（电信接口）的公网地址进行转换。ip nat inside source route-map isp3 interface Serial1/0 overload注：如果访问的网段即不是电信，也不是网通，这时默认拿S1/0电信接口的公网地址进

23、行转换。该语句可以不要。ip nat inside source route-map ips33 interface Serial1/1 overload注：如果访问的网段即不是电信，也不是网通，而且S1/0电信接口又DOWN掉时，只有拿S1/1网通接口的公网地址进行转换。该语句可以不要。打开debug ip nat观看nat转换效果：先在内网上ping电信的公网地址，可以看到，可以连接。lan1#ping 20.20.20.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout

24、 is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 12/40/64 mslan1#ping 20.20.10.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 20.20.10.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/24/44 mslan1#ping 20.20.30.1Type e

25、scape sequence to abort.Sending 5, 100-byte ICMP Echos to 20.20.30.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/23/44 m在网关上看一下nat有没有正确转换:01:25:47: NAT: s=192.168.1.2-100.100.100.1, d=20.20.20.1 30901:25:47: NAT*: s=20.20.20.1, d=100.100.100.1-192.168.1.2 309

26、01:25:47: NAT: s=192.168.1.2-100.100.100.1, d=20.20.20.1 31001:25:47: NAT*: s=20.20.20.1, d=100.100.100.1-192.168.1.2 31001:25:47: NAT: s=192.168.1.2-100.100.100.1, d=20.20.20.1 31101:25:47: NAT*: s=20.20.20.1, d=100.100.100.1-192.168.1.2 31101:25:47: NAT: s=192.168.1.2-100.100.100.1, d=20.20.20.1 3

27、1201:25:47: NAT*: s=20.20.20.1, d=100.100.100.1-192.168.1.2 31201:25:47: NAT: s=192.168.1.2-100.100.100.1, d=20.20.20.1 31301:25:47: NAT*: s=20.20.20.1, d=100.100.100.1-192.168.1.2 313nat#01:25:52: NAT: s=192.168.1.2-100.100.100.1, d=20.20.10.1 31401:25:52: NAT*: s=20.20.10.1, d=100.100.100.1-192.16

28、8.1.2 31401:25:52: NAT: s=192.168.1.2-100.100.100.1, d=20.20.10.1 31501:25:52: NAT*: s=20.20.10.1, d=100.100.100.1-192.168.1.2 31501:25:52: NAT: s=192.168.1.2-100.100.100.1, d=20.20.10.1 31601:25:52: NAT*: s=20.20.10.1, d=100.100.100.1-192.168.1.2 31601:25:52: NAT: s=192.168.1.2-100.100.100.1, d=20.

29、20.10.1 31701:25:52: NAT*: s=20.20.10.1, d=100.100.100.1-192.168.1.2 31701:25:52: NAT: s=192.168.1.2-100.100.100.1, d=20.20.10.1 31801:25:52: NAT*: s=20.20.10.1, d=100.100.100.1-192.168.1.2 318nat#01:25:56: NAT: s=192.168.1.2-100.100.100.1, d=20.20.30.1 31901:25:56: NAT*: s=20.20.30.1, d=100.100.100

30、.1-192.168.1.2 31901:25:56: NAT: s=192.168.1.2-100.100.100.1, d=20.20.30.1 32001:25:56: NAT*: s=20.20.30.1, d=100.100.100.1-192.168.1.2 32001:25:56: NAT: s=192.168.1.2-100.100.100.1, d=20.20.30.1 32101:25:56: NAT*: s=20.20.30.1, d=100.100.100.1-192.168.1.2 32101:25:56: NAT: s=192.168.1.2-100.100.100

31、.1, d=20.20.30.1 32201:25:56: NAT*: s=20.20.30.1, d=100.100.100.1-192.168.1.2 32201:25:56: NAT: s=192.168.1.2-100.100.100.1, d=20.20.30.1 32301:25:56: NAT*: s=20.20.30.1, d=100.100.100.1-192.168.1.2 323可以看出，去往电信网段时，NAT拿100.100.100.1这个电信的公网地址来转换，符合我们要求。下面在内网去ping网通的网段：lan1#ping 220.220.1.1Type escape

32、 sequence to abort.Sending 5, 100-byte ICMP Echos to 220.220.1.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 12/28/44 mslan1#ping 220.220.2.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 220.220.2.1, timeout is 2 seconds:!Success rate is 100 p

33、ercent (5/5), round-trip min/avg/max = 4/28/68 mslan1#ping 220.220.3.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 220.220.3.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/46/64 ms可以连通。在网关看一下NAT转换情况：01:29:16: NAT: s=192.168.1.2-200.200.200.

34、1, d=220.220.1.1 32401:29:16: NAT*: s=220.220.1.1, d=200.200.200.1-192.168.1.2 32401:29:16: NAT: s=192.168.1.2-200.200.200.1, d=220.220.1.1 32501:29:16: NAT*: s=220.220.1.1, d=200.200.200.1-192.168.1.2 32501:29:16: NAT: s=192.168.1.2-200.200.200.1, d=220.220.1.1 32601:29:16: NAT*: s=220.220.1.1, d=2

35、00.200.200.1-192.168.1.2 32601:29:16: NAT: s=192.168.1.2-200.200.200.1, d=220.220.1.1 32701:29:16: NAT*: s=220.220.1.1, d=200.200.200.1-192.168.1.2 32701:29:16: NAT: s=192.168.1.2-200.200.200.1, d=220.220.1.1 32801:29:16: NAT*: s=220.220.1.1, d=200.200.200.1-192.168.1.2 328nat#01:25:56: NAT*: s=20.2

36、0.30.1, d=100.100.100.1-192.168.1.2 32301:29:19: NAT: s=192.168.1.2-200.200.200.1, d=220.220.2.1 32901:29:19: NAT*: s=220.220.2.1, d=200.200.200.1-192.168.1.2 32901:29:19: NAT: s=192.168.1.2-200.200.200.1, d=220.220.2.1 33001:29:19: NAT*: s=220.220.2.1, d=200.200.200.1-192.168.1.2 33001:29:19: NAT:

37、s=192.168.1.2-200.200.200.1, d=220.220.2.1 33101:29:19: NAT*: s=220.220.2.1, d=200.200.200.1-192.168.1.2 33101:29:19: NAT: s=192.168.1.2-200.200.200.1, d=220.220.2.1 33201:29:19: NAT*: s=220.220.2.1, d=200.200.200.1-192.168.1.2 33201:29:19: NAT: s=192.168.1.2-200.200.200.1, d=220.220.2.1 33301:29:19

38、: NAT*: s=220.220.2.1, d=200.200.200.1-192.168.1.2 333nat#01:25:56: NAT*: s=20.20.30.1, d=100.100.100.1-192.168.1.2 32301:29:21: NAT: s=192.168.1.2-200.200.200.1, d=220.220.3.1 33401:29:21: NAT*: s=220.220.3.1, d=200.200.200.1-192.168.1.2 33401:29:22: NAT: s=192.168.1.2-200.200.200.1, d=220.220.3.1

39、33501:29:22: NAT*: s=220.220.3.1, d=200.200.200.1-192.168.1.2 33501:29:22: NAT: s=192.168.1.2-200.200.200.1, d=220.220.3.1 33601:29:22: NAT*: s=220.220.3.1, d=200.200.200.1-192.168.1.2 33601:29:22: NAT: s=192.168.1.2-200.200.200.1, d=220.220.3.1 33701:29:22: NAT*: s=220.220.3.1, d=200.200.200.1-192.

40、168.1.2 33701:29:22: NAT: s=192.168.1.2-200.200.200.1, d=220.220.3.1 33801:29:22: NAT*: s=220.220.3.1, d=200.200.200.1-192.168.1.2 338可以看出，网关是拿网通接口的公网地址200.200.200.1拿进行nat转换的，符合我们的要求。在网关上看一下NAT转换情况：01:37:10: NAT: s=192.168.1.2-100.100.100.1, d=6.6.6.6 35401:37:10: NAT*: s=6.6.6.6, d=100.100.100.1-19

41、2.168.1.2 35401:37:10: NAT: s=192.168.1.2-100.100.100.1, d=6.6.6.6 35501:37:10: NAT: s=200.200.200.2, d=100.100.100.1-192.168.1.2 33901:37:10: NAT: s=192.168.1.2-100.100.100.1, d=6.6.6.6 35601:37:10: NAT*: s=6.6.6.6, d=100.100.100.1-192.168.1.2 35601:37:10: NAT: s=192.168.1.2-100.100.100.1, d=6.6.6.

42、6 357去往非电信网通网段时，拿电信的公网地址进行转换。下面我们把isp1路由器的S0/0接口关闭。这里通往电信的线路将不可达。Isp1(config)#int s0/0Isp1(config-if)#shutdown回到NAT路由器上PING电信网关：nat#ping 100.100.100.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 100.100.100.2, timeout is 2 seconds:.Success rate is 0 percent (0/5)发现不通，因为isp1把S0/0口D

43、OWN掉了。回到内网上在去ping电信网段，看一下情况会是怎样。lan1#ping 20.20.10.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 20.20.10.1, timeout is 2 seconds:!.!Success rate is 80 percent (4/5), round-trip min/avg/max = 24/47/92 mslan1#ping 20.20.20.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/44/72 mslan1#ping 20.20.30.1Typ