关于 Cisco 路由器 3925 的配置问题

网络工程 思科 转变 路由器 思科-ios 思科命令
2022-02-13 07:37:54

这是我的路由器的配置(使用假的公共 IP 地址):

interface GigabitEthernet0/0
 ip address 113.160.61.14 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 101.96.10.141 255.255.255.192
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
! 
interface GigabitEthernet0/2
 ip address 172.16.2.28 255.255.255.248
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
ip nat inside source list ftth interface GigabitEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 113.160.61.13 100
ip route 0.0.0.0 0.0.0.0 101.96.10.129 200
!
ip access-list extended ftth
 permit ip 192.168.7.0 0.0.0.255 any
 permit ip 192.168.1.0 0.0.0.255 any
 permit ip 192.168.8.0 0.0.0.255 any
 permit ip 192.168.9.0 0.0.0.255 any

这是以下结果show ip int b

Interface                  IP-Address       OK?     Method Status            Protocol
GigabitEthernet0/0         113.160.61.14    YES     NVRAM  up                    up
GigabitEthernet0/1         101.96.10.141    YES     manual up                    up
NVI0                       113.160.61.14    YES     unset  up                    up

如您所见,我们有两个 WAN 接口连接到两个不同的 ISP,我们更改了一些配置并看到了一些行为,如下所示:

  1. 如果我保留此设置,则两个 WAN 链接都可以,因为我们可以 8.8.8.8从它们 ping(ping 源),默认路由 113.160.61.13按预期进行。
  2. 如果我更改ip nat inside source list ftth interface GigabitEthernet0/0 overloadip nat inside source list ftth interface GigabitEthernet0/1 overload,两个 WAN 链接仍然可以,因为我们可以8.8.8.8从它们 ping (ping 源),默认路由仍然通过113.160.61.13
  3. 但是如果我做了第2步,也改成ip route 0.0.0.0 0.0.0.0 101.96.10.129 200ip route 0.0.0.0 0.0.0.0 101.96.10.129 20没有更多的互联网,可以8.8.8.8从源 ping101.96.10.141但不能从其他链接
  4. 当我关闭接口 g0/0 时互联网回来了,默认路由现在指向101.96.10.129

那么任何人都可以在步骤 2、3 和 4 中解释这些行为吗?和NVI接口有关吗?我们希望两个链接都 UP 并且能够 ping 通8.8.8.8

2个回答

首先,您的 NAT 规则仅针对首先到达 nat 内部接口的流量触发 - 即您的 Gi0/2。由于您从 wan 接口(Gi0/0 和 Gi0/1)作为源 ping,这不会触发任何转换,并且您的源 ip 在 icmp 数据包中保持不变。实际发生的情况可能与您的 ISP 之一缺少路由信息有关。我的假设是,您的 ISP1 知道如何同时到达 113.160.61.14 和 101.96.10.141,而 ISP2 不知道如何到达 113.160.61.14,因此,当您的默认路由指向 ISP2 时,您的 ping 会丢失,当来自 113.160.61.14。

现在,为了让 Gi0/2 后面的内部主机能够访问 Internet,您需要配置两个 nat 规则,正如 Ron Maupin 已经提到的。

这是您正在寻找的思科文档:http: //docwiki.cisco.com/wiki/NAT_failover_with_DUAL_ISP_on_a_router_Configuration_Example

基本上,现有的 nat 被第二个 ISP 端口重新使用,并被第二个 ISP 作为欺骗 IP 地址丢弃。

配置的重要部分是输出接口上具有匹配条件的双路由映射:

route-map isp1 permit 10
match ip address 100    <----note acl 100 in the example needs to be your internal networks
match interface FastEthernet0/0

route-map isp2 permit 10
match ip address 100
match interface FastEthernet1/0
其它你可能感兴趣的问题
上一篇如何升级几个 Cisco Catalyst 3500 系列 XL 48 端口交换机的 IOS(通过 CLI)? 下一篇GUI 配置 - HP Switch 5900