策略路由-双链路负载

1、指定策略路由实现双链路负载某公司原有一个外网接入线路，后来又申请了新的一条外网接入。使用单独的线路进行服务 器区域的外网接入，可以将内部的服务器使用nat发布到公网上，保证服务器本身的部分 安全。另外，其它区域人员对于出口而言主要是对外访问，而服务器区域过多的是被对内访 问。那么本质上的将两种应用隔开，无论是做acl还是对于流量的负载均衡都有较大的益 处。f0/1接入的是原本的isp线路，网络地址为:92/27新的isp线路接在了 f0/2上,网络地址为:0/29配置如下：interface f 0/1ip address 218.247.1

2、42.194 24ip nat outsideinterface f 0/2ip address 2 48ip nat outsideinterface f 0/0ip address ip nat insideip policy route-map vfast /在此口（入口）应用策略名为vfast的策略路由ip nat inside source list 1 interface fastethemet 0/1 overloadip nat inside source

3、statictcp0 80280 extendableip nat inside source statictcp0 21221 extendableip nat inside source statictcp0 80380 extendableip nat inside source statictcp0 21321 extendableip nat inside source statictcp172.16.

4、3.30 80480 extendableip nat inside source statictcp0 21421 extendable内部员工上网可以做动态翻译，一劳永逸。服务器区域设备可以采用静态的一对-翻译，这样只是把服务器需要用到的端口翻译出去就可以了，此处我们以web服务器为例。ip route 218.24742.193ip route 21906.196.81access-list 1 permit 55ac

5、cess-list 1 permit 55access-list 1 permit 55access-list 2 permit 55route-map vfast permit 10 定义 route-map ,命名此策略名为 vfast,配置其 permit 序列 10 match ip address 1应用acl-1中允许通过的网段地址set interface fastetherneto/1指定出口为 fastethetnet 0/1iroute-map vfast permi

6、t 20match ip address 2set interface fastetherneto/2交换机策略路由的应用一、网络拓扑办公网为172网段,其核心交换机为85-1,由ne-1做nat通过网通上internet；宿舍区 为10网段，其核心交换机为85-2,由ne-2做nat通过电信上internet。服务器放在s85-1 下，为172网段的地址，供宿舍区10网段主机访问。二、应用需求及实现分析应用需求：由于网通和电信的出口均为百兆，而宿舍区用户远远多于办公区的用户，要分流部分宿舍 区的用户通过网通的出口上internet0实现分析：此需求看起来很简单，即通过策略路由，使部分用户上网

7、的下一跳到s85-1上，通过ne-1 出去。但是仔细分析具体的实现，还是有很多要考虑的地方。1. s8500 ±策略路由只能在入端口方向上做，这样，要在特定网段的所有入端口应用策略 路由。2. 应用策略路由的流由acl来定义区分，此处aclrfl关键字源ip來定义。acl number 2000rule 0 permit ip source 10. 1. 1.0 55策略路由优先级最高，如果定义上面的acl,当10网段访问10网段时，将会先匹配策略 路由，从而下一跳到s85-1 ±,在s85-1上匹配路由，再回到s85-2上面，从而到达目的主 机，这样

8、来回就多了两跳。3. 修改acl为禁止源ip为10网段，目的ip也为10网段的流应用策略路由。ac 1 number 2000rule 0 deny ip source 10. 1. 1. 0 0. 255. 255. 255 destination 10. 0. 0. 0 0. 255. 255. 255 rule 1 permit ip source 10. 1. 1. 0 0. 255. 255. 255但是策略路由引用的acl规则不允许为deny0难道只能这样，让10网段访问10网段的时候多走两跳吗？当然不！三、解决方法s8500交换机的策略路由是由硬件来实现的，不然，对于s8500这

9、种逐包转发的交换机， 其cpu不可能处理如此大的转发量。由于策略路由和下发的acl样，由硬件处理，那就 有匹配顺序的问题。如果让源ip为10网段，冃的ip也为10网段数据先匹配其他的acl 转发出去，而不匹配策略路由，那么就可以解决上面的问题。配置如下：编写acl 3000,允许源ip10网段访问目的ip10网段acl number 3000rule 0 permit ip source 10. 1. 1. 0 0. 255. 255. 255 destination 10. 0. 0. 0 0. 255. 255. 255 编写acl2000,允许源ip10网段（做策略路由）ac1 numb

10、er 2000rule 0 perm it ip source 10. 1. 1. 0 0. 255.255.255在端口下发规则tnterface gigabitetherneto/1/4packet-filter inbound ip-group 3000traffic-rcdirect inbound ip-group 2000 ncxt-hop 0在端口下发规则吋要注意顺序，对于s8500交换机的acl规则是先下发先匹配，所以此处必 须先下发acl 3000,再运用策略路由。在端口 g0/l/4± 10. 1.1.0网段的主机访问10网段 的主机时，就会先匹配

11、acl3000,而acl3000的规则为permit,这样就正常的查找路由表来 转发。而目的ip不是10网段时，就会匹配上策略路由，从而下一跳到s85-1上。cisco 3640策略路由配置3640#show runcurrent configurtition:1version 12.0service timesltimps debug uptimeservice timestamps log uptimeno service password-encryptionhostname 3640iiip subnet-zero<br>!interface ethernet0/0ip a

12、ddress 172. 16. 0. 1 255. 255. 255. 0no ip redirectsno ip directcd-broadcaststandby 1 priority 120 preempt /*双机热备配置*/standby 1 ip 172. 16. 0. 100standby 1 track serial0/0 50/*双机热备配置*/interface serial0/0ip address 10. 10. 10. 1 255. 255. 255. 0no ip directcd-broadcastencapsulation pppno ip mroute-cac

13、heno fair-queueinterface serial0/lip address 10. 10. 10. 10 255. 255. 255. 0no ip directed-broadcastencapsulation pppno ip mroute-cacheno fair-queueinterface seriall/0no ip addressno ip directed-broadcastshutdown1interfcice sericil 1/1no ip addressno ip directed-broadcastshutdowniinterface serial 1/

14、2no ip addressno ip directed-broadcastshutdownpriority-group 5 /*cq 5 配置应用*/ cq：定制队列1interface serial 1/3no ip tiddressno ip directed-broadcastshutdownpriority-group 2 /*pq 2配置应用*/ pq:优先级队列1interface serial3/0no ip addressno ip directed-broadcastip policy route-map mail /*策略路由 ma订应用*/shutdowniinterf

15、ace serial3/1no ip addressno ip directed-broadcastip route-cache policy/*启动策略路由mytest的快速转发*/ip pol icy route-map mytest /*策略路由 mytest 应用*/shutdownno fair-queueinterface serial3/2no ip addressno ip directed-broadcastshutdowniinterface serial3/3no ip addressno ip directed-broadcastshutdownirouter eigr

16、p 200redistribute rip metric 100000 100 255 1 1500 /*rip 路由重分发*/network 192. 1 & 0. 01router eigrp 100passive-interface serial3/2 /*在 serial3/2 端口抑制路由更新*/network 10. 0. 0. 0distribute-list 6 out/*过滤外向的更新只包括除10. 20. 0. 0 z外的所有路由*/distribute-list 5 in/*过滤传入的路由更新，只包括192. 16&1.0路由*/distance 100

17、192. 168. 3. 0 0. 0. 0. 255/*把 e1grp 的管理距离调整至 100*/irouter ospf 200redistribute rip metric 10 subnets/*rip 路由重分发（包括子网），度量值为 10*/redistribute eigrp 200 metric 5 subnets/*eigrp 路由重分发（包括子网），度量值为 5*/network 172. 0. 0. 0 0. 255. 255. 255 area 0irouter ripredistribute eigrp 101/*e1grp 路由重分发*/network 10. 0

18、. 0. 0network 192. 172. 1. 0default-metric 5/*给 eigrp 默认度量值 5*/1ip classlessip route 0. 0. 0. 0 0. 0. 0. 0 10. 10. 10. 2ip route 0. 0. 0. 0 0. 0. 0. 0 10. 10. 10. 3no ip http server1access-list 1 permit 67 2. 21. 5access-list 5 permit access-list 6 deny 10. 20. 0. 0ciccess-1 ist access-li

19、st access-list access-list queue-list queue-list queue-list queue-1ist queue-list queue-1ist5555556 permit ciny101 permi t tcp 101 permit tcp 120 permit tcp protocol ip 1 protocol ip 2 default queue 1 queue 2 queue 3priority-list 优先级队列*/ priority-list priori ty-1ist2 protocolanyanyanytcptcpany eq any eq any eq www smtppop3smtptelnet#cq 5的配置# /*http流量分配到队列1*/*shtp流屋分配到队列2*/*其它ip流量分配到队列3*/byte-count 4500/*队列 1 的带宽为 30%*/byte-count 1500/*队列 2 的带宽为 10%*/byte-count 9000 #cq 5的配置#/*队列3的带宽为60%*/ip high list 1 #pq 2 的配置# /*来ft 67.2.