CISCO设备策略NAT实现双WAN分流

352262

作者：jcelsius

51cto博客原创

实验拓扑：

IP地址表：
　　

设备

接口

IP地址

对端设备

对端接口

对端IP地址

备注

R1

E0/0

12.1.1.10/24

R2

E0/0

12.1.1.1/24

R2

E0/1

23.1.1.1/30

R3

E0/1

23.1.1.2/30

R2

E0/2

24.1.1.1/30

R4

E0/1

24.1.1.2/30

R3

E0/0

123.1.1.3/24

SW1

Port1

/

R4

E0/0

123.1.1.4/24

SW1

Port2

/

R5

E0/0

123.1.1.5/24

SW1

Port3

/

R5

Loop0

5.5.5.5/32

/

/

/

回环地址

实验需求：
　　1. R1为模拟PC，R2为出口路由器，R3、R4、R5为Internet公网
　　2. 从R1 ping 5.5.5.5时，数据包路径为R1 => R2 (NAT转换) => R3 => R5
　　3. 从R1 ping 123.1.1.5时，数据包路径为 R1 => R2 (NAT转换) => R4 => R5
　　4. R2、R3、R4、R5之间不准运行动态路由协议（只在每个设备添加最优静态路由）

实验说明：
　　本次实验目的在于模拟双出口网络通信，越来越多的企业采用电信、联通双线路出口。
　　要求目标为联通地址时通过联通出口，电信地址通过电信出口。
　　实验采取模拟地址形式进行。

技术声明：
　　本次实验所使用的技术主要包括：静态路由、地址转换、访问列表、路由策略。

主要参数：
　　R1模拟PC配置：
　　

• !
  
• 
  
• no ip routing
  
• 
  
• !
  
• 
  
• !
  
• 
  
• interface Ethernet0/0
  
• 
  
• ip address 12.1.1.10 255.255.255.0
  
• 
  
• !
  
• 
  
• ip default-gateway 12.1.1.1
  
• 
  
• !
  

　　

　　R2配置：（关键配置点）
　　

• !
  
• 
  
• interface Ethernet0/0
  
• 
  
• ip address 12.1.1.1 255.255.255.0
  
• 
  
• ip nat inside
  
• 
  
• !
  
• 
  
• interface Ethernet0/1
  
• 
  
• ip address 23.1.1.1 255.255.255.252
  
• 
  
• ip nat outside
  
• 
  
• !
  
• 
  
• interface Ethernet0/2
  
• 
  
• ip address 24.1.1.1 255.255.255.252
  
• 
  
• ip nat outside
  
• 
  
• !
  
• 
  
• ip route 0.0.0.0 0.0.0.0 23.1.1.2
  
• 
  
• ip route 0.0.0.0 0.0.0.0 24.1.1.2
  
• 
  
• !
  
• 
  
• ip nat translation timeout 1
  
• 
  
• ip nat inside source route-map nat23 interface Ethernet0/1 overload
  
• 
  
• ip nat inside source route-map nat24 interface Ethernet0/2 overload
  
• 
  
• !
  
• 
  
• access-list 123 permit ip any host 5.5.5.5
  
• 
  
• access-list 124 permit ip any 123.1.1.0 0.0.0.255
  
• 
  
• !
  
• 
  
• route-map nat23 permit 10
  
• 
  
• match ip address 123
  
• 
  
• set default interface Ethernet0/1
  
• 
  
• !
  
• 
  
• route-map nat24 permit 10
  
• 
  
• match ip address 124
  
• 
  
• set default interface Ethernet0/2
  
• 
  
• !
  
• 
  
• !
  

　　

　　R3配置：
　　

• !
  
• 
  
• !
  
• 
  
• interface Ethernet0/0
  
• 
  
• ip address 123.1.1.3 255.255.255.0
  
• 
  
• half-duplex
  
• 
  
• !
  
• 
  
• interface Ethernet0/1
  
• 
  
• ip address 23.1.1.2 255.255.255.252
  
• 
  
• half-duplex
  
• 
  
• !
  
• 
  
• ip route 5.5.5.5 255.255.255.255 123.1.1.5
  
• 
  
• ip route 24.1.1.0 255.255.255.252 123.1.1.4
  
• 
  
• !
  

　　

　　R4配置：
　　

• !
  
• 
  
• interface Ethernet0/0
  
• 
  
• ip address 123.1.1.4 255.255.255.0
  
• 
  
• half-duplex
  
• 
  
• !
  
• 
  
• interface Ethernet0/1
  
• 
  
• ip address 24.1.1.2 255.255.255.252
  
• 
  
• half-duplex
  
• 
  
• !
  
• 
  
• ip route 5.5.5.5 255.255.255.255 123.1.1.5
  
• 
  
• ip route 23.1.1.0 255.255.255.252 123.1.1.3
  
• 
  
• !
  

　　

　　R5配置：
　　

• !
  
• 
  
• interface Loopback0
  
• 
  
• ip address 5.5.5.5 255.255.255.255
  
• 
  
• !
  
• 
  
• interface Ethernet0/0
  
• 
  
• ip address 123.1.1.5 255.255.255.0
  
• 
  
• half-duplex
  
• 
  
• !
  
• 
  
• ip route 23.1.1.0 255.255.255.252 123.1.1.3
  
• 
  
• ip route 24.1.1.0 255.255.255.252 123.1.1.4
  
• 
  
• !
  

　　

测试结果：
　　R1(PC) ping 5.5.5.5测试

　　在R2查看NAT转换：

　　分段测试R1(PC) ping 5.5.5.5

　　继续查看R2转换表

　　转换地址为23.1.1.1，符合R2 =>R3，并且没有发现出口IP漂移，测试成功。
　　R1(PC) ping 123.1.1.5测试

　　在R2查看转换表

　　分段测试R1(PC) ping 123.1.1.5

　　查看R2转换表：

　　同样转换地址为24.1.1.1，符合R2 =>R4，并且没有发现出口IP漂移，测试成功。
　　分别ping 5.5.5.5 和 123.1.1.5

　　查看R2转换表：

　　发现目标为5.5.5.5时通过R2 => R3的E0/1接口IP地址
　　目标为123.1.1.5时通过R2 => R4的E0/2接口IP地址
　　本文提供配置文件附件，供学习参考使用。转载请注明出处，谢谢合作！

目标完成，实验结束