雙線NAT下如何利用路由器實(shí)現(xiàn)基于端口的流控

作者：JOY 2010-04-07 12:12:54

在51CTO論壇中看到一篇懸賞帖，帖子是講路由器雙線接入NAT后的數(shù)據(jù)分流問題的。之所以編輯成本文，主要是由于目前大家都比較關(guān)注如何利用路由器進(jìn)行合理的數(shù)據(jù)分流。記者也查閱了一些資料，整理一些解決此類問題的知識(shí)點(diǎn)，希望對(duì)51CTO.com廣大的網(wǎng)絡(luò)工程師有所貢獻(xiàn)。

【51CTO.com 獨(dú)家特稿】在51CTO論壇中看到一篇懸賞帖，帖子是講路由器雙線接入NAT后的數(shù)據(jù)分流問題的。之所以編輯成本文，主要是由于目前大家都比較關(guān)注如何利用路由器進(jìn)行合理的數(shù)據(jù)分流。記者也查閱了一些資料，整理一些解決此類問題的知識(shí)點(diǎn)，希望對(duì)51CTO.com廣大的網(wǎng)絡(luò)工程師有所貢獻(xiàn)。閑話少說(shuō)，請(qǐng)看原帖懸賞內(nèi)容：

拓?fù)浜驮O(shè)備簡(jiǎn)單描述：

思科2811路由器一臺(tái)，三個(gè)FE口，f0/0接ISP1，f0/1接ISP2(ADSL)，f1/0接內(nèi)網(wǎng)交換機(jī)

問題呈現(xiàn)：

ISP1專線有公網(wǎng)IP，下載可以，但開網(wǎng)頁(yè)不行，第一次聯(lián)站點(diǎn)要5秒，后面就對(duì)了；
ISP2是ADSL，開網(wǎng)頁(yè)比ISP1快多了，下載速度不行。
帖主分析：估計(jì)ISP1開網(wǎng)頁(yè)慢是因?yàn)镈NS解析慢的原因。

帖主為了優(yōu)化，想實(shí)現(xiàn)如下需求：

讓DNS解析只通過ISP2來(lái)走，PC在從ISP2得到正確外網(wǎng)域名IP地址后，再通過ISP1跑所有數(shù)據(jù)，在ISP2不能解析地址時(shí)，再自己解析。
ISP2在ISP1失效時(shí)，所有數(shù)據(jù)走自己。
帖主分析難點(diǎn)：這里的難點(diǎn)在于內(nèi)網(wǎng)通過ISP1或2訪問外網(wǎng)時(shí)作了NAT復(fù)用，端口就有變化了，怎么去控制內(nèi)網(wǎng)的訪問呢？

在解決這個(gè)問題之前，我們先來(lái)了解一些知識(shí)點(diǎn)：

NAT(Network Address Translation)的功能，就是指在一個(gè)網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過申請(qǐng)。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過內(nèi)部的IP地址進(jìn)行通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部internet網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有NAT功能的設(shè)備（比如：路由器）負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過申請(qǐng)的IP地址）進(jìn)行通信。

通常NAT用于兩種情況：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet 隔離開，則外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址，其次是一個(gè)企業(yè)申請(qǐng)的合法Internet IP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多。可以通過NAT功能實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法IP與外部Internet 進(jìn)行通信。

而要達(dá)到這些目的，需要設(shè)置NAT功能的路由器至少要有一個(gè)內(nèi)部端口（Inside），一個(gè)外部端口（Outside）。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址。并且內(nèi)部端口可以為任意一個(gè)路由器端口。外部端口連接的是外部的網(wǎng)絡(luò)，如Internet 。外部端口可以為路由器上的任意端口。另外提醒一點(diǎn)，設(shè)置NAT功能的路由器的IOS應(yīng)支持NAT功能。有關(guān)NAT更多的介紹，請(qǐng)參閱《路由器NAT功能配置簡(jiǎn)介》一文。

現(xiàn)在我們來(lái)看看怎樣解決剛才提到的幾個(gè)問題：

解決思路：

ISP2的nat匹配DNS解析
ISP1的nat匹配其他
或者
ISP2跑http
其他的跑ISP1

配置實(shí)例：

interface FastEthernet0/0                             --------假設(shè)該端口為ISP 2接入端口
ip address 192.168.1.2 255.255.255.0         --------分配地址
ip nat outside                                                --------指定為NAT Outside端口
!
interface FastEthernet0/1                             ---------假設(shè)該端口為ISP 1接入端口
ip address 192.168.2.2 255.255.255.0         --------分配地址
ip nat outside                                                --------指定為NAT Outside端口
!
interface FastEthernet1/0                             -------假設(shè)該端口為內(nèi)部網(wǎng)絡(luò)端口
ip address 192.168.3.1 255.255.255.0        --------分配地址
ip nat inside                                                  --------指定為NAT Inside端口
ip policy route-map t0                                   --------在該端口上使用route-map t0進(jìn)行策略控制
!
ip nat inside source list 101 interface FastEthernet0/0 overload       http應(yīng)用做PAT，匹配101acl
ip nat inside source list 102 interface FastEthernet0/1 overload       其他應(yīng)用做PAT，匹配102acl
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.1       ------靜態(tài)路由，對(duì)Internet的訪問通過192.168.2.1（ISP1）鏈路
ip route 0.0.0.0 0.0.0.0 192.168.1.1       ------靜態(tài)路由，對(duì)Internet的訪問通過192.168.1.1（ISP2）鏈路
ip http server
靜太路由不起很大的作用,因?yàn)榇嬖诓呗月酚?主要是set int 要求有顯示的去往目的的路由
!
access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq 80
access-list 102 deny tcp 192.168.3.0 0.0.0.255 any eq 80
access-list 102 permit ip any any
!
route-map t0 permit 10                       ----定義route-map t0，permit序列為10
match ip address 101                         ----匹配101ACL的數(shù)據(jù)
set interface FastEthernet0/0             ----指定出口為Fastethetnet 0/0
!
route-map t0 permit 20                       ----定義route-map t0，permit序列為20
match ip address 102                         ----匹配102ACL的數(shù)據(jù)
set interface FastEthernet0/1             ----指定出口為Fastethetnet 0/1
set ip next-hop verify-availability        ----表示強(qiáng)制檢測(cè)下一跳是否有用，失效則按常規(guī)轉(zhuǎn)發(fā)，同時(shí)新增一個(gè)PAT，匹配所有流量，轉(zhuǎn)到ISP1接口。

通過這樣的配置，基本問題已經(jīng)解決了！通過這個(gè)帖子，或許我們能夠清晰的看到，當(dāng)路由器作為雙線出口時(shí)，一個(gè)基本的流控思路就是將雙線做合理分工，再加上 NAT后的ACL列表來(lái)實(shí)現(xiàn)基于端口的數(shù)據(jù)分流。這里面的重點(diǎn)問題，就像帖主所提到的，當(dāng)端口變化后，如何控制內(nèi)網(wǎng)主機(jī)訪問。相信各種實(shí)際情況的不同，具體處理方式可能會(huì)略有不同，但總的來(lái)說(shuō)，道理一定是通的。在此，也感謝51CTO.com的兩位網(wǎng)友，他們的ID是：tibetit和 lgq2358132134。論壇原帖地址：http://bbs.51cto.com/thread-678368-1.html

責(zé)任編輯：趙毅來(lái)源： 51CTO.com