雙互聯網出口實現范文
本站小編為你精心準備了雙互聯網出口實現參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
為了提高局域網的上網質量,單位分別租用了電信和移動兩路互聯網出口,為了達到充分利用這兩路互聯網出口的目的,我們使用了一臺三端口的硬件防火墻(型號為CISCOPIX520),從系統的軟件升級到調試成功前后經歷了一周左右的時間。經過一段時間的實踐驗證,該系統運行穩定,確實達到了流量分擔和互為備份的功能,下面是具體的實現過程。1確定雙互聯網出口的實現方式當我們做完PIX520硬件防火墻的軟硬件升級后,根據實際情況。最終的互聯網雙出口的使用方案為:當用戶訪問電信的網站的時候走電信的出口(通過靜態路由實現),訪問其他的網站均走移動的出口(通過默認路由實現)。這樣兼顧了效率和可行性。2PIX520硬件防火墻的軟硬件升級和組網拓撲圖本次雙互聯網出口的實現關鍵設備為PIX520,有3個網絡模塊,即可以實現兩進(接兩路互聯網出口)一出(連接內部局域網):升級了防火墻的軟件版本至6.3,相關信息如下:pixfirewall#showverCiscoPIXFirewallVersion6.3(5)CiscoPIXDeviceManagerVersion3.0(4)0:ethernet0:addressis00d0.b78f.2cfc.irq111:ethernet1:addressis00d0.b784.f820.irq152:ethernet2:addressis0002.b326.ad25.irq10在這里要介紹一下PIX520防火墻的網絡模塊命名規則,第一塊網卡名為e0,連接外網。第二塊網卡名為e1,連接內網(這兩個網絡模塊是系統自帶的,名字和連接的網絡不可修改)。以后新加的網絡模塊依次為e2、e3、e4等,可以視所連接的網絡自行定義,本例中我們新增了一塊連接電信網段的網絡模塊,命名為e2。組網拓撲如圖1所示:3具體配置步驟如圖1所示,PIX520防火墻的e0口連移動,e2口連電信,下面是具體的步驟:(1)為網絡模塊命名nameifethernet0outsidesecurity0nameifethernet1insidesecurity100nameifethernet2outside2security0定義了e0口為連移動的口,e2口為連電信的口,e1口為連內網的口。(2)定義網口的lP地址ipaddressoutside218.*.*.105255.255.255.240ipaddressoutside2222,*.*,93255.255.255.224addressinside192.168.201.1255.255.255.0連接移動的網卡的lP地址為218.*.*.105,連接電信的網卡的IP地址為222.*.*.93。連接內網的網卡的IP地址為192.168.2011。(3)設置訪問電信的網段走電信的口routeoutside211.0.0.0255.252.0.0222.*.*.651通過靜態路由來實現,電信的網段有多個,這些靜態路由也要相應地寫多條,本例中只列舉了其中一條。(4)設置默認路由routeoutside0.0.0.0.0.0.0.0218.*.*.971這里要注意route后面跟的是e0網卡的名稱。(5)設置指向內部網絡的路由routeinside10.0.0.0255.0.0.0192,168.201,21routeinside192.168.0.0255.255.0.0192.168.201.21routeinside172.19.0.0255.255.0.0192.168.201.21同理,內部局域網中有多個網段(通過在三層交換機上創建相應的VLAN),我們就要在PIX520防火墻上針對內部網段寫多條路由。本例中我們列舉了三條。(6)配置動態NAT①創建一個ACL,里面包含允許訪問外部網絡的網段access-listacl_insidedenyudpanyanyeatftp……(省略了多條不允許進行的網絡訪問規則)access-listacl_nsidepermitioanyany這個名為acl_inside的ACL很重要,它描述了一些不允許訪問的端口(主要是為了防止網絡攻擊),然后放開了其他的限制(即per-mitipanyany)。②在內網端口上應用這個ACLaccess-groupacl_insidelninterfaceinside③分別在兩個外網端口上應用這個ACLaccess-groupacl_insideininterfaceoutsideaccess-groupacl_insideininterfaceoutside2④執行動態NAT(PAT)global(outside)1interfaceglobal(outside2)1interfacenat(inside)10.0.0.0.00.0.0.0.0我們在PIX520防火墻上采用PAT(端口映射)的NAT方式。4雙互聯網出口的測試局域網用戶可以通過tracert命令針對分別位于移動和電信運營商的網站進行測試。確實實現了訪問電信的網段走電信的出口,其余的均走移動的出口的設計思路,而且我們還通過MRTG軟件對防火墻的各個端口進行了流量監控,連接電信和移動的端口均有一定的流量,同時證明我們雙互聯網出口的實現是成功的。
