NBR100多IP出口解决方案的配置方法
多IP出口方案
由于有不少网络游戏,如果采用同一个IP地址登陆,只能有一台PC可以在线,其他的相同IP地址的PC将无法继续登陆,所以现在在网吧中,有不少网吧有申请了多个IP地址,这样在网吧内部PC进行分组,属于不同分组的PC通过不同的公网IP访问游戏服务器,这样,便可以在同一个网吧中,有多台PC可以玩有这种限制的网络游戏。
在不少的学校,都有从CERNET和INTERNET两条出口,有的时候,需要做到访问教育网的时候,从CERNET的出口访问,而访问其他的站点的时候,通过INTERNET的出口访问。
如何才可以实现这个目的的?
可以采用锐捷路由器自动选择IP和线路的解决方案。
以下以锐捷NBR100为例,在网吧中有多个IP地址,需要做到网吧内部的不同的IP地址,通过不同的公网IP访问InterNET。
模拟环境描述(仅仅是一个虚拟的环境)
网吧内有两个不同的公网IP地址,公网IP地址分别为192.168.5.40和192.168.5.224,网吧的局域网IP地址为192.168.0.1到192.168.0.254,现在将内网IP地址分为两个小组,192.168.0.1到192.168.0.127为第一个组,从192.168.0.128到192.168.0.254为第二小组,第一组的PC通过192.168.5.40这个公网IP访问Internet,而第二组的PC通过192.168.5.224这个公网IP地址访问Internet。
通过这种方式,可以在实际网吧中,安排座位时,IP地址按照1、128、2、129、3、130、4、131
...
这种方式,这样,便可以做到相邻座位的PC都是通过不同的公网IP地址出口的,所以相邻的玩家有时要玩相同的游戏,便没有太多的限制了。
具体的路由器的配置方式
Red-Giant#
show running-config
Building configuration...
Current configuration:
!
!
hostname "Red-Giant"
!
enable secret 5 $1$Eryx$hcunW8rLwMIqhWJQGr1PT/
!
!
!
ip subnet-zero
!
!
!
interface FastEthernet0
ip address 192.168.5.40 255.255.255.0
ip nat outside
!
interface FastEthernet1
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
ip nat pool p1 192.168.5.40 192.168.5.40 netmask 255.255.255.0
ip nat pool p2 192.168.5.224 192.168.5.224 netmask 255.255.255.0
ip nat inside source list 3 pool p2 overload
ip nat inside source list 2 pool p1 overload
ip nat translation dns-timeout 30
ip nat translation finrst-timeout 20
ip nat translation icmp-timeout 30
ip nat translation tcp-timeout 120
ip nat translation timeout 120
ip nat translation udp-timeout 120
ip nat optimize
ip nat limit-max-session all 300
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.5.1
access-list 2 permit 192.168.0.0 0.0.0.127
access-list 2 deny any
access-list 3 deny 192.168.0.0 0.0.0.127
access-list 3 permit any
!
line con 0
line vty 0 4
password 123
login
!
end
Red-Giant#
路由器的配置的简单解释
在上面的配置中,主要是配置了两个NAT的地址池,P1和P2,采用如下指令:
ip nat pool p1 192.168.5.40 192.168.5.40 netmask 255.255.255.0
ip nat pool p2 192.168.5.224 192.168.5.224 netmask 255.255.255.0
然后定义NAT地址转换规则,具体的NAT转换规则如下:
ip nat inside source list 3 pool p2 overload
ip nat inside source list 2 pool p1 overload
从上面可以看出,满足访问列表3的,通过NAT地址池P2出口,满足访问列表2的PC机,通过NAT地址池P1出口。
所以整个的关键是如何来构建访问列表2和访问列表3了,在这个例子中,采用的是标准访问列表,采用标准访问列表,可以获得更高的速度,如果采用扩展访问列表,数据报文的过滤变的比较复杂,对于性能会有所影响,所以推荐采用标准访问列表。以下为两个访问列表的具体的定义:
access-list 2 permit 192.168.0.0 0.0.0.127
access-list 2 deny any
access-list 3 deny 192.168.0.0 0.0.0.127
access-list 3 permit any
访问列表2,便是IP地址在192.168.0.1到192.168.0.127的IP地址都满足,而访问列表3便是除了192.168.0.1到192.168.0.127外的所有IP地址。
通过以上的3个配置步骤,便达到了IP地址在192.168.0.1到192.168.0.127这个范围的PC,从192.168.5.40出口,IP地址在192.168.0.128到192.168.0.254这个范围的PC,通过192.168.5.224出口,达到了内部PC分组出口的目的。
具体的验证
设置内部的IP地址为192.168.0.30,在访问列表2的范围内,具体设置如下:
D:\>ipconfig
Windows 2000 IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.30
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
D:\>
这时Pc去TELNET 192.168.5.1这个公网IP地址,在路由器上用
show ip nat translations
指令,看出结果如下:
Red-Giant#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 192.168.5.40:1460 192.168.0.30:1460 192.168.5.1:23 192.168.5.1:23
Red-Giant#
从上面的信息,可以看出,内部IP地址为192.168.0.30的PC,通过TELNET的23端口访问192.168.5.1,出口地址为192.168.5.40。
同样的,拿一台IP地址为192.168.0.200的,在访问列表3的范围内,具体的设置如下:
D:\>ipconfig
Windows 2000 IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.200
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
D:\>
这时Pc去TELNET 192.168.5.1这个公网IP地址,在路由器上用
show ip nat translations
指令,看出结果如下:
Red-Giant#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 192.168.5.224:1479 192.168.0.200:1479 192.168.5.1:23 192.168.5.1:23
Red-Giant#
从上面的信息,可以看出,内部IP地址为192.168.0.200的PC,通过TELNET的23端口访问192.168.5.1,出口地址为192.168.5.224。
总结
在锐捷系列路由器中,有很多非常好的功能和应用,比如支持多线路的负载均衡和线路备份,支持多个出口IP地址,LAN口和WAN口都可以支持到256个IP地址。支持内部私服,支持病毒的防范和隔离。在实际的工作中,灵活应用这些功能,可以达到意想不到的效果!