十一期間接到一個朋友的電話,要我幫個小忙。將他們公司的服務器區域使用新從ISP申請下的公網地址進行數據傳輸。
使用單獨的線路進行服務器區域的外網接入,可以將內部的服務器使用NAT發佈到公網上,保證服務器本身的部分安全。另外,其它區域人員對於出口而言主要是對外訪問,而服務器區域過多的是被對內訪問。那麼本質上的將兩種應用隔開,無論是做ACL還是對於流量的負載均衡都有較大的益處。
拓撲結構如下
如拓撲圖所示,F0/1接入的是原本的ISP線路,網絡地址爲:218.247.142.192/27
新的ISP線路接在了F0/2上,網絡地址爲:218.106.196.80/29
配置如下:
Interface f 0/1
Ip address 218.247.142.194 255.255.255.224
Ip nat outside
Interface f 0/2
Ip address 219.106.196.82 255.255.255.248
Ip nat outside
Interface f 0/0
Ip address 172.16.0.1 255.255.0.0
Ip nat inside
ip policy route-map vfast
//在此口(入口)應用策略名爲vfast的策略路由
Ip nat inside source list 1 interface FastEthernet 0/1 overload
Ip nat inside source static tcp 172.16.3.10 80 219.106.196.82 80 extendable
Ip nat inside source static tcp 172.16.3.10 21 219.106.196.82 21 extendable
Ip nat inside source static tcp 172.16.3.20 80 219.106.196.83 80 extendable
Ip nat inside source static tcp 172.16.3.20 21 219.106.196.83 21 extendable
Ip nat inside source static tcp 172.16.3.30 80 219.106.196.84 80 extendable
Ip nat inside source static tcp 172.16.3.30 21 219.106.196.84 21 extendable
//內部員工上網可以做動態翻譯,一勞永逸。服務器區域設備可以採用靜態的一對一翻譯,這樣只是把服務器需要用到的端口翻譯出去就可以了,此處我們以web服務器爲例。
Ip route 0.0.0 .0 0.0.0.0 218.247.142.193
Ip route 0.0.0 .0 0.0.0.0 219.106.196.81
Access-list 1 permit 172.16.0.0 0.0.0 .255
Access-list 1 permit 172.16.1.0 0.0.0 .255
Access-list 1 permit 172.16.2.0 0.0.0 .255
Access-list 2 permit 172.16.3.0 0.0.0 .255
route-map vfast permit 10
//定義route-map ,命名此策略名爲vfast,配置其permit序列10
match ip address 1
match ip address 1
//應用acl-1中允許通過的網段地址
set interface FastEthernet0/1
set interface FastEthernet0/1
//指定出口爲Fastethetnet 0/1
!
route-map vfast permit 20
!
route-map vfast permit 20
match ip address 2
set interface FastEthernet0/2
set interface FastEthernet0/2
!