学习的好文件
很想学习
说正题,首先来说说这个实验用到的技术,SLA这个东东,百度说是Service Level Aggrement(服务等级协议),有点晦涩,我理解就是链路状态检测,用于检测一条链路的各种状态,比如通断情况;接着是策略路由(PBR),主要用到的就是route-map,常听说路由策略重点是路由,策略路由重点是策略,这句话体会还不够深,先记着就行,策略路由浅显的就是先抓取感兴趣的路由然后对路由的选路、下一跳,metric等参数进行修改,策略路由更多应用于BGP,其实这个东西是很强大的;最后就是NAT,但今天用到的是策略的NAT,就是route-map + NAT技术。
先说一下大概配置流程:
1、先将上本的配置敲完:内网用OSPF使内网互通,并在边界路由器上强行注入OSPF的默认路由,外网只有端口IP和一个相同的Loopback口,因为这里不考虑相同运营商之间的通信,所以用分别在两个运营商路由器上写了相同的IP6.6.6.6/32;
2、配置SLA,这个比较简单,配置完基本不固定了;
3、配置route-map,这里分两种,一种是给NAT用的,要写两个,一种是给策略路由用的,只写一个;
4、配置NAT,分别调用route-map;
5、接口下调用策略路由;
基本就这几步,下面上命令,【这里只上重要部分并解释】
其实命令基本都在R1上,也就是边界路由器上。
“ ### ”后面的为解释内容
R1配置:【按上面的流程来】
1、基本OSPF配置
network 172.16.13.0 0.0.0.3 area 0
network 192.168.12.0 0.0.0.3 area 0
default-information originate always ###强行注入OSPF默认路由,使内网路由器有一条 O*E2 0.0.0.0/0 的默认路由
2、配置SLA
ip sla monitor 14 ### 这个14 是随便起的,但在会后面用到, 一种颜色是一个SLA
type echo protocol ipIcmpEcho 14.14.14.2 source-ipaddr 14.14.14.1 ###这里其实是定义用ICMP包来检测源和目标IP,14.14.14.2是外网IP,14.14.14.1是边界出口IP
timeout 300 ###这个300是定义多长时间未收到echo的回应就断定这条链路断了,单位是毫秒
frequency 5 ###这是是定义周期性检测链路的时间间隔,单位是秒
ip sla monitor schedule 14 life forever start-time now ###这个是执行SLA,从什么时候开始,以及结束时间,我这里让它一直检测
ip sla monitor 15
type echo protocol ipIcmpEcho 15.15.15.2 source-ipaddr 15.15.15.1
timeout 300
frequency 5
ip sla monitor schedule 15 life forever start-time now
定义完SLA后要和追踪组一起使用【颜色对应哦】
track 41 rtr 14 reachability ### 41是追踪组的编号,14就是上面SLA的编号
!
track 51 rtr 15 reachability
ip route 0.0.0.0 0.0.0.0 14.14.14.2 track 41 ###这是一方面是上面的追踪组对应,一方面是和OSPF的默认路由起作用,因为外网是没有任何静态或动态路由的,如果外网用动态路由协议,只用default-information originate always就可以,但这里没有。【不信可心试试,试出来告诉我哦】如果检测的这条链路断了,由这条默认路由生成的静态默认路由也就会消失,并不是这条命令,它会与后面的策略路由和策略NAT有联动作用。
ip route 0.0.0.0 0.0.0.0 15.15.15.2 track 51
到这里SLA基本完成。
3、配置route-map
要先抓取感兴趣的流量,也就是我们的内网
ip access-list standard DXACL ###正常情况下只往电信链路起的ACL,抓取内网2的流量
permit 172.16.13.0 0.0.0.3
permit 172.16.1.0 0.0.0.255
permit 172.16.2.0 0.0.0.255
ip access-list standard WTACL ###正常情况下只往网通链路起的ACL,抓取内网1的流量
permit 192.168.1.0 0.0.0.255
permit 192.168.2.0 0.0.0.255
permit 192.168.12.0 0.0.0.3
NAT的route-map【注意名字不同哦】
route-map DXMAP permit 10
match ip address DXACL WTACL ### 你没看错,这里匹配走电信或网通的流量,想一下题目,单点双向,对了,如果其中一条断了另一条就要挑大梁了
match interface Serial0/1 ###说一下Serial0/1这个接口是边界路由器的出接口,要让NAT往哪边转换就写哪边的出接口
!
route-map WTMAP permit 10
match ip address WTACL DXACL
match interface Serial0/0
=============================================================================
策略路由的route-map【注意名字一样哦】
route-map PBRWTDX permit 10 ###匹配内网1,使内网1的流量只走网通,当网通的链路断了走电信,也就与上面的SLA和追踪组联动起来了
match ip address WTACL
set ip next-hop verify-availability 14.14.14.2 1 track 41 ###这里说一下14.14.14.2后的 “1” 前面是没有定义它的,你可以把它想成下一跳的一个列表
!
route-map PBRWTDX permit 20 ###匹配内网1,使内网1的流量只走网通,当电信的链路断了走网通,也就与上面的SLA和追踪组联动起来了
match ip address DXACL
set ip next-hop verify-availability 15.15.15.2 2 track 51
4、先NAT调用route-map【没什么好说的,只要对应上面的route-map名称和出接口就可以了】
ip nat inside source route-map DXMAP interface Serial0/1 overload
ip nat inside source route-map WTMAP interface Serial0/0 overload
5、接口下调用策略路由【更简单,一句话,看出来了吗,只在边界路由器的入接口调用】
interface FastEthernet1/0
ip address 192.168.12.1 255.255.255.252
ip nat inside
ip virtual-reassembly
ip policy route-map PBRWTDX
!
interface FastEthernet2/0
ip address 172.16.13.1 255.255.255.252
ip nat inside
ip virtual-reassembly
ip policy route-map PBRWTDX
到这里基本就结束了,一开始我配置的都是对的,可是Ping半天就是不通,看了会柯南再来Ping就通了,真想只有一个,在边界上开启debug多观察吧。
本主题由 fulltimes 于 2018-5-25 09:06 审核通过
7.png (49.49 KB, 下载次数: 0)
实验拓扑图
实验拓扑图
好好学习一下
感谢分享,学习学习
谢谢楼主
帅气
谢谢分享
谢谢分享
谢谢分享
阿弥陀佛!
6666666666666666666666666666666
感谢分享
look
{:6_267:}
