策略路由分析-校园网双出口组网案例数据流分析(一)

客户需求:
 192.168.2.0/24用户通过电信出口访问INTERNET,教育网出口备份

 192.168.3.0/24用户通过教育网出口访问INTERNET,电信网出口备份

 
策略路由分析-校园网双出口组网案例数据流分析(一)
 
 
VPC2:192.168.2.100 GW:192.168.2.1 VLAN2

VPC3:192.168.3.100 GW:192.168.3.1 VLAN3
 
配置思路:大家要记住策略路由一般是用来实现特殊需求的,所以一般情况最好不要用。一般在要在全网连通性的情况下,才做策略路由。此案例可以先在边界用浮动静态路由实现主备,再用NAT使内网用户访问INTERNET,再做策略路由实现特殊需求。详细过程如下:
SW2配置:

SW2#vlan database

SW2(vlan)#vtp transport

SW2(vlan)#vtp tran

SW2(vlan)#vtp transparent 

SW2(vlan)#vlan 2

SW2(vlan)#vlan 3

SW2(vlan)#exit

SW2#config t

SW2(config)#int vlan 2

SW2(config-if)#ip add 192.168.2.1 255.255.255.0

SW2(config-if)#no shut

SW2(config-if)#int vlan 3

SW2(config-if)#ip add 192.168.3.1 255.255.255.0

SW2(config-if)#exit

SW2(config)#int f1/2

SW2(config-if)#switchport mode access

SW2(config-if)#switchport access vlan 2

SW2(config-if)#int f1/3

SW2(config-if)#switchport mode access

SW2(config-if)#switchport access vlan 3

SW2(config-if)#int f1/1 

SW2(config-if)#no switchport

SW2(config-if)#ip add 192.168.1.2 255.255.255.252

SW2(config-if)#no shut

SW2(config-if)#exit

SW2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 //缺省路由指向RT

SW2(config)#ip route 192.168.0.0 255.255.0.0 null 0 //黑洞路由,在RT1上配置了一条汇总路由指向SW2,为了防止路由环路
TEL配置:

Tel-Internet(config)#interface Loopback0

Tel-Internet(config-if)#ip address 202.202.0.1 255.255.255.255

Tel-Internet(config-if)#no shut

Tel-Internet(config)#interface FastEthernet1/0   //

//此接口是直接与EDU相连的,拓扑图上没画出来,用来模拟INTERNET环境,实现互通
Tel-Internet(config-if)#ip address 222.222.222.1 255.255.255.252

Tel-Internet(config-if)#no shut

Tel-Internet(config)#interface FastEthernet2/0

Tel-Internet(config-if)#ip address 202.202.202.1 255.255.255.252

Tel-Internet(config-if)#no shut

Tel-Internet(config)#ip route 200.200.0.0 255.255.0.0 222.222.222.2

Tel-Internet(config)#ip route 202.202.0.0 255.255.0.0 Null0

EDU配置

Edu-Internet(config)#interface Loopback0

Edu-Internet(config-if)#ip address 200.200.0.1 255.255.255.255

Edu-Internet(config-if)#no shut

Edu-Internet(config)#interface FastEthernet1/0 //此接口是直接与TEL相连的,拓扑图上没画出来,用来模拟INTERNET环境,实现互通
Edu-Internet(config-if)#ip address 222.222.222.2 255.255.255.252

Edu-Internet(config-if)#no shut

Edu-Internet(config)#interface FastEthernet3/0

Edu-Internet(config-if)#ip address 200.200.200.1 255.255.255.252

Edu-Internet(config-if)#no shut

Edu-Internet(config)#ip route 200.200.0.0 255.255.0.0 Null0

Edu-Internet(config)#ip route 202.202.0.0 255.255.0.0 222.222.222.1

RT1配置:

RT1(config)#int f1/0

RT1(config-if)#ip add 192.168.1.1 255.255.255.252

RT1(config-if)#no shut

RT1(config)#int f2/0

RT1(config-if)#ip add 202.202.202.2 255.255.255.252

RT1(config-if)#no shut

RT1(config-if)#int f3/0

RT1(config-if)#ip add 200.200.200.2 255.255.255.252

RT1(config-if)#no shut

RT1(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.2

RT1(config)#ip route 0.0.0.0 0.0.0.0 202.202.202.1

RT1(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.1 30 //浮动静态路由实现主备,线路失效自动切换

RT1(config)#access-list 10 permit 192.168.3.0 0.0.0.255 //区分需要策略路由的流量

RT1(config)#route-map 3 permit 10   //建立route-map

RT1(config-route-map)#match ip address 10  //配置访问控制列表10

RT1(config-route-map)#set ip next-hop 200.200.200.1//设置下一跳为200.200.200.1

RT1(config-route-map)#exit

RT1(config)#int f1/0

RT1(config-if)#ip policy route-map 3 //将策略路由绑定到F1/0

测试下PC3 192.168.3.100 ping  200.200.200.1

在RT1上debug ip policy 10

*Mar  1 00:39:03.815: IP: tableid=0, s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1 (FastEthernet3/0), routed via FIB

*Mar  1 00:39:03.819: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1, len 84, policy match

*Mar  1 00:39:03.823: IP: route map 3, item 10, permit

*Mar  1 00:39:03.823: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1 (FastEthernet3/0), len 84, policy routed

*Mar  1 00:39:03.827: IP: FastEthernet1/0 to FastEthernet3/0 200.200.200.1

*Mar  1 00:39:03.827: IP: s=192.168.3.100 (FastEthernet1/0), d=200.200.200.1 (FastEthernet3/0), g=200.200.200.1, len 84, forward

策略路由生效了,正常流量应该从F2/0转发的,192.168.3.0实行了策略路由所以从F3/0转发了

配置NAT(方法一)

RT1(config)#access-list 101 permit ip 192.168.0.0 0.0.255.255 any //定义需要NAT处理的流量

RT1(config)#route-map TEL permit 10  //建立route-map ,走电信的

RT1(config-route-map)#match ip address 101 //匹配流量

RT1(config-route-map)#match interface f2/0 //匹配出接口

RT1(config-route-map)#exit

RT1(config)#route-map EDU permit 10   //建立route-map ,走教育网的

RT1(config-route-map)#match ip address 101 //匹配流量

RT1(config-route-map)#match interface f3/0  //匹配出接口

RT1(config)#int f1/0

RT1(config-if)#ip nat inside 

RT1(config-if)#int f2/0

RT1(config-if)#ip nat outside

RT1(config-if)#int f3/0

RT1(config-if)#ip nat outside

RT1(config-if)#exit

RT1(config)#ip nat inside source route-map TEL int f2/0 overload //走电信的转换成F2/0的IP

RT1(config)#ip nat inside source route-map EDU int f3/0 overload //走教育网的转换成F3/0IP

测试下:

VPCS 3 >ping 202.202.0.1

202.202.0.1 icmp_seq=1 timeout

202.202.0.1 icmp_seq=2 time=89.000 ms

202.202.0.1 icmp_seq=3 time=117.000 ms

202.202.0.1 icmp_seq=4 time=87.000 ms

202.202.0.1 icmp_seq=5 time=70.000 ms

RT1(config)#do show ip nat tr

Pro Inside global      Inside local       Outside local      Outside global

icmp 200.200.200.2:11836 192.168.3.100:11836 202.202.0.1:11836 202.202.0.1:11836

icmp 200.200.200.2:12092 192.168.3.100:12092 202.202.0.1:12092 202.202.0.1:12092

icmp 200.200.200.2:12348 192.168.3.100:12348 202.202.0.1:12348 202.202.0.1:12348

icmp 200.200.200.2:12604 192.168.3.100:12604 202.202.0.1:12604 202.202.0.1:12604

icmp 200.200.200.2:12860 192.168.3.100:12860 202.202.0.1:12860 202.202.0.1:128601

VPCS 2 >ping 200.200.0.1

200.200.0.1 icmp_seq=1 timeout

200.200.0.1 icmp_seq=2 time=118.000 ms

200.200.0.1 icmp_seq=3 time=93.000 ms

200.200.0.1 icmp_seq=4 time=66.000 ms

200.200.0.1 icmp_seq=5 time=99.000 ms

RT1(config)#do show ip nat t

Pro Inside global      Inside local       Outside local      Outside global

icmp 202.202.202.2:31036 192.168.2.100:31036 200.200.0.1:31036 200.200.0.1:31036

icmp 202.202.202.2:31292 192.168.2.100:31292 200.200.0.1:31292 200.200.0.1:31292

icmp 202.202.202.2:31548 192.168.2.100:31548 200.200.0.1:31548 200.200.0.1:31548

icmp 202.202.202.2:31804 192.168.2.100:31804 200.200.0.1:31804 200.200.0.1:31804

icmp 202.202.202.2:32060 192.168.2.100:32060 200.200.0.1:32060 200.200.0.1:32060

把去往电信的线路断了

RT1(config-if)#do show ip int br

Interface                  IP-Address      OK? Method Status                Protocol

FastEthernet1/0            192.168.1.1     YES manual up                    up      

FastEthernet2/0            202.202.202.2   YES manual administratively down down    

FastEthernet3/0            200.200.200.2   YES manual up                    up  

VPCS 2 >ping 200.200.0.1

200.200.0.1 icmp_seq=1 timeout

200.200.0.1 icmp_seq=2 time=75.000 ms

200.200.0.1 icmp_seq=3 time=18.000 ms

200.200.0.1 icmp_seq=4 time=74.000 ms

200.200.0.1 icmp_seq=5 time=28.000 ms  

RT1(config-if)#do show ip nat t

Pro Inside global      Inside local       Outside local      Outside global

icmp 200.200.200.2:2642 192.168.2.100:2642 200.200.0.1:2642  200.200.0.1:2642

icmp 200.200.200.2:2898 192.168.2.100:2898 200.200.0.1:2898  200.200.0.1:2898

icmp 200.200.200.2:3154 192.168.2.100:3154 200.200.0.1:3154  200.200.0.1:3154

icmp 200.200.200.2:3410 192.168.2.100:3410 200.200.0.1:3410  200.200.0.1:3410

icmp 200.200.200.2:3666 192.168.2.100:3666 200.200.0.1:3666  200.200.0.1:3666

把教育网的线路断了

RT1(config-if)#do  show ip int br

Interface                  IP-Address      OK? Method Status                Protocol

FastEthernet1/0            192.168.1.1     YES manual up                    up      

FastEthernet2/0            202.202.202.2   YES manual up                    up      

FastEthernet3/0            200.200.200.2   YES manual administratively down down

icmp 202.202.202.2:8020 192.168.3.100:8020 200.200.0.1:8020  200.200.0.1:8020

icmp 202.202.202.2:8276 192.168.3.100:8276 200.200.0.1:8276  200.200.0.1:8276

icmp 202.202.202.2:8532 192.168.3.100:8532 200.200.0.1:8532  200.200.0.1:8532

icmp 202.202.202.2:8788 192.168.3.100:8788 200.200.0.1:8788  200.200.0.1:8788

icmp 202.202.202.2:9044 192.168.3.100:9044 200.200.0.1:9044  200.200.0.1:9044

VPCS 3 >ping 200.200.0.1

200.200.0.1 icmp_seq=1 time=64.000 ms

200.200.0.1 icmp_seq=2 time=35.000 ms

200.200.0.1 icmp_seq=3 time=126.000 ms

200.200.0.1 icmp_seq=4 time=73.000 ms

200.200.0.1 icmp_seq=5 time=104.000 ms

192.168.2.0/24是走电信的吧,电信断了就走教育网

192.168.3.0/24的,网段现走教育网了吧,教育网断了,就走电信了,成功了吧

配置NAT(方法二)

RT1(config)#access-list 101 permit ip 192.168.0.0 0.0.255.255 any //定义需要NAT处理的流量

RT1(config)#access-list 1 permit host 202.202.202.1

RT1(config)#access-list 2 permit host 200.200.200.1

RT1(config)#route-map TEL permit 10  //建立route-map ,走电信的

RT1(config-route-map)#match ip address 101 //匹配流量

RT1(config-route-map)#match ip next-hop 1 //匹配下一跳

RT1(config-route-map)#exit

RT1(config)#route-map EDU permit 10   //建立route-map ,走教育网的

RT1(config-route-map)#match ip address 101 //匹配流量

RT1(config-route-map)#match ip next-hop 2  //匹配下一跳

RT1(config)#int f1/0

RT1(config-if)#ip nat inside 

RT1(config-if)#int f2/0

RT1(config-if)#ip nat outside

RT1(config-if)#int f3/0

RT1(config-if)#ip nat outside

RT1(config-if)#exit

RT1(config)#ip nat inside source route-map TEL int f2/0 overload //走电信的转换成F2/0的IP

RT1(config)#ip nat inside source route-map EDU int f3/0 overload //走教育网的转换成F3/0IP

思考:1.如果我现在用PC2 ping 200.200.200.1,它会走哪边呢?

   2.如果教育网的200.200.200.1断了,PC3还能上网吗?

分析:1. VPCS 2 >ping 200.200.200.1

200.200.200.1 icmp_seq=1 time=104.000 ms

200.200.200.1 icmp_seq=2 time=61.000 ms

200.200.200.1 icmp_seq=3 time=83.000 ms

200.200.200.1 icmp_seq=4 time=68.000 ms

200.200.200.1 icmp_seq=5 time=71.000 ms

RT1(config)#do show ip nat t

Pro Inside global      Inside local       Outside local      Outside global

icmp 200.200.200.2:47932 192.168.2.100:47932 200.200.200.1:47932 200.200.200.1:47932

icmp 200.200.200.2:48188 192.168.2.100:48188 200.200.200.1:48188 200.200.200.1:48188

icmp 200.200.200.2:48444 192.168.2.100:48444 200.200.200.1:48444 200.200.200.1:48444

icmp 200.200.200.2:48700 192.168.2.100:48700 200.200.200.1:48700 200.200.200.1:48700

icmp 200.200.200.2:48956 192.168.2.100:48956 200.200.200.1:48956 200.200.200.1:48956

怎么不是202.202.202.1呢?

查看一下路由表:

C       200.200.200.0/30 is directly connected, FastEthernet3/0

     202.202.202.0/30 is subnetted, 1 subnets

C       202.202.202.0 is directly connected, FastEthernet2/0

     192.168.1.0/30 is subnetted, 1 subnets

C       192.168.1.0 is directly connected, FastEthernet1/0

S*   0.0.0.0/0 [1/0] via 202.202.202.1

S    192.168.0.0/16 [1/0] via 192.168.1.2

 未完,看后续 策略路由分析-校园网双出口组网案例数据流分析(二) http://tangfangxiao.blog.51cto.com/2116646/628640

附件:http://down.51cto.com/data/2358647




本文转自 tangfangxiao 51CTO博客,原文链接:http://blog.51cto.com/tangfangxiao/628632

上一篇:如何将物理机虚拟机打包成docker


下一篇:201903-2二十四点