电信地址池为58.246.2.1-58.246.2.10
教育网地址池为202.101.3.1-202.101.3.10
内部web服务器内部地址为172.16.1.1,映射成教育网地址为202.101.2.1
场景需求:
p 1、内部宿舍区私有IP地址用户可以通过NPE访问公网,且访问电信资源走电信线路,访问教育网资源走教育网线路。
p 2、内部服务器网段172.16.0.0/16只走教育网线路,内部web服务器(172.16.1.1)对外提供web服务
p 3、EG启用NAT日志功能,和elog对接,elog服务器地址为172.16.1.2
需求分析
1、内部宿舍区私有IP地址用户可以通过NPE的两条线路访问公网,且访问电信资源走电信线路,访问教育网资源走教育网线路。
分析:宿舍区私有IP地址用户通过NPE的两条线路都可以访问公网,需要在NPE上配置NAT,且电信和教育网都需要配置NAT,配置两个地址池,并匹配两个接口。
2、内部服务器网段172.16.0.0/16只走教育网线路,内部web服务器(172.16.1.1)对外提供web服务
分析:
1、要求内部服务器网段只走教育网线路,传统的基于目的路由的模式不能满足此需要,需要配置策略路由,匹配源地址来进行路由转发。
2、要求内部web服务器对外提供web服务,而内部web服务器是私网地址,因此需要做基于端口的NAT静态映射。
3、NPE启用NAT日志功能,和Elog对接,elog服务器地址为172.16.1.2
分析:启用NAT日志功能,需要和Elog对接,因此需要配置和Elog对接的相关配置。
启用NPE的地址库功能,配置接口下的电信和教育网地址库,访问电信的资源走电信线路,匹配教育网的资源走教育网线路。
route-auto-choose cnii GigabitEthernet 0/1 58.246.1.1
route-auto-choose cernet GigabitEthernet 0/2 202.101.1.1
同时配置两条等价的缺省路由,不匹配电信和教育网地址库的,匹配两条等价缺省路由,自动负载到两条线路
ip route 0.0.0.0 0.0.0.0 58.246.1.1
ip route 0.0.0.0 0.0.0.0 202.101.1.1
ip route 10.0.0.0 255.0.0.0 1.1.1.2
ip route 172.16.0.0 255.255.0.0 1.1.1.2
ip route 192.168.0.0 255.255.0.0 1.1.1.2
从上图中数据流向可以看出,源地址为宿舍区私用地址10.0.0.0/8的网段,访问电信资源从NPE出去时需要做NAT,匹配电信的地址池;访问教育网资源从NPE出去时也需要做NAT,匹配教育网的地址池,否则私网地址在公网上无法路由,无法访问互联网。
因此,我们需要配置两个地址池,并对应的匹配两个接口。
定义NAT设备的内外口
interface GigabitEthernet 0/0
ip nat inside
interface GigabitEthernet 0/1
ip nat outside
interface GigabitEthernet 0/2
ip nat outside
定义NAT地址池
ip nat pool sushe prefix-length 24
address 202.101.3.1 202.101.3.1 match interface gigabitEthernet 0/2
address 58.246.2.1 58.246.2.10 match interface gigabitEthernet 0/1
定义acl
Ruijie(config)#ip access-list standard 1
Ruijie(config-std-nacl)#permit any
定义转换关联
Ruijie(config)#ip nat inside source list 1 pool sushe overload
端口映射
ip nat inside source static tcp 172.16.1.1 80 202.101.2.1 80
从上图中可以看出:
若是教育网的用户发起到校内web服务器的访问,数据从web服务器返回,到达NPE的时候,NPE查找路由表,发现目的地址是教育网,从而从教育网线路出去,由于web服务器在教育网线路上做了NAT静态映射,因此数据可以正常返回,没有问题。
若是电信用户发起到校内web服务器的访问,因为web服务器映射出去的是教育网的,因此进来的数据会先绕到教育网线路,然后再从NPE进来,到达web服务器,数据从web服务器返回,到达NPE的时候,NPE超找路由表,发现目的地址是电信用户,应该从电信线路出去,但web服务器未在电信线路上做NAT静态映射,因此数据无法返回到电信用户。
因此我们需要一种策略,来让web服务器的数据强制走教育网线路,这个策略就是---策略路由
定义重分布路由图
NPEconfig)# route-map server permit 10
定义路由图每个策略的匹配规则或条件
ip access-list standard 10
10 permit 172.16.0.0 0.0.255.255
定义满足匹配规则后,路由器对符合规则的数据包进行IP优先值和下一跳的设置
NPEconfig)# route-map server permit 10
NPE(config-route-map)# match ip address 10
NPEconfig-route-map)# set ip next-hop 202.101.1.1
在指定接口中应用路由图
interface GigabitEthernet 0/0
ip policy route-map server
Elog服务器是用来存储和查询NPE的nat日志的,NPE上的配置步骤如下:
打开流日志开关
ip session log-on
配置日志服务器
NPE(config)# rlog server 172.16.1.2