摘自网络
<?xml:namespace prefix = v ns =
"urn:schemas-microsoft-com:vml" />
<?xml:namespace prefix = o ns =
"urn:schemas-microsoft-com:office:office" />
策略路由双线发布服务器
一、需求分析
1、企业双线接入
2、内部web服务器对外发布,电信用户通过电信线路访问,移动用户通过移动线路访问
3、内部服务器可以访问公网,平时通过电信访问,移动做备份,如果电信出问题了,自动
切换到移动线路
二、难点剖析:
从外到内的访问:
1、web服务器必须配置双地址
因为在防火墙上做端口映射,一个内网IP的80端口是无法同时映射到两个公网IP的80
端口的,设备都不支持这样的用法,所以我们必须给内网服务器配双地址,一个内
网IP映射到一个公网IP.(cisco和锐捷的设备支持一对多的映射)
2、必须使用策略路由才能实现双线正常访问内网服务器
此时使用策略路由的原理是这样的,我们将服务器的第一个IP映射到电信外网口,将服
务器的第二个IP映射到移动外网口,我们使用策略路由,可以实现从哪个口进来的流量,
从哪个口出去。这样,移动用户访问移动的外网口,服务器反馈的流量就会从移动外网
口返回,电信的用户访问电信的外网口,服务器反馈的流量就会从电信的外网口返回。
有这两条策略,就可以保证外网双线访问内网服务器
从内到外的访问:
1、服务器设同网段的双地址,但网关只有一个
2、在防火墙上,需要写两条默认路由,通过修改管理距离,可以实现主备线路。指向电信
的默认路由管理距离设低些,指向移动的管理距离要高一些,这样所有流量都用电信的
线上网,只有电信线路出问题的时候,才会走移动的线路
3、
有这两条策略,就可以保证从内向外的访问。
三、实现方式
简单的理解最后构成这样一种模式:
从电信来的访问——映射到IP1的80口——IP1的回包——匹配route-policy的第一条策略走电信的下一跳——nat转换源IP1为电信公网IP——应答电信用户
从移动来的访问——映射到IP2的80口——IP2的回包——匹配route-policy的第二条策略走移动的下一跳——nat转换源IP2为移动公网IP——应答移动用户
四.注意点
1、是先进行策略路由,后进行nat转换
2、策略路由只能用到内网口上
3、如果只是用策略路由,只能实现内网外的双线访问,外网用户将无法telnet、ping、web
管理出口的设备,因为没有静态路由指明出口方向,这里又是一个能访问远点却无法访
问近点的经典案例
五、H3C
F100-S防火墙配置命令
端口映射:
Inter f0/1
Nat server tcp global
192.168.9.1 80 inside 192.168.1.2 80
Inter f0/2
Nat server tcp global
192.168.8.1 80 inside 192.168.1.3 80
定义route-policy用的acl
Acl number 3000 permit
source 192.168.1.2 0.0.0.0
Acl number 3001 permit
source 192.168.1.3 0.0.0.0
定义route-policy,引用acl
Route-policy double-line
permit node 10
If-match acl
3000
Apply interface
f0/1
Route-policy double-line
permit node 20
If-match acl
3001
Apply interface
f0/2
将route-policy应用到内网接口
Interface
f0/0
Ip policy route-policy
double-line
此时就可以实现从外到内的访问了
写两条默认路由,指向电信的管理距离设为100,指向移动的管理距离不修改,
Ip route-static 0.0.0.0
0.0.0.0 f0/0 100
Ip route-static 0.0.0.0
0.0.0.0 f0/1
两条NAT挂在不同的外网接口
Acl number
2000
Rule permit source
192.168.1.0 0.0.0.255
在两个外网接口上开启nat转换,复用外网接口IP
Interface
f0/0
Nat outbound
2000
Interface
0/1
Nat outbound
2000