| 网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 |
|
| Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道 |
某公司的服务器区域使用新从ISP申请下的公网地址进行 数据传输。 网管u家u.bitsCN.com
使用单独的线路进行服务器区域的外网接入,可以将内部的服务器使用NAT发布到公网上,保证服务器本身的部分安全。另外,其它区域人员对于出口而言主要是对外访问,而服务器区域过多的是被对内访问。那么本质上的将两种应用隔开,无论是做ACL还是对于流量的负载均衡都有较大的益处。
网管网www_bitscn_com
拓扑结构如下
网管u家u.bitscn@com
网管联盟bitsCN_com
如拓扑图所示,F0/1接入的是原本的ISP线路,网络地址为:218.247.142.192/27 网管u家u.bitsCN.com
新的ISP线路接在了F0/2上,网络地址为:218.106.196.80/29
网管联盟bitsCN@com
配置如下: 网管网www.bitscn.com
Interface f 0/1 Ip address 218.247.142.194 255.255.255.224 Ip nat outside Interface f 0/2 Ip address 219.106.196.82 255.255.255.248 Ip nat outside Interface f 0/0 Ip address 172.16.0.1 255.255.0.0 Ip nat inside ip policy route-map vfast //在此口(入口)应用策略名为vfast的策略路由 Ip nat inside source list 1 interface FastEthernet 0/1 overload Ip nat inside source static tcp 172.16.3.10 80 219.106.196.82 80 extendable Ip nat inside source static tcp 172.16.3.10 21 219.106.196.82 21 extendable Ip nat inside source static tcp 172.16.3.20 80 219.106.196.83 80 extendable Ip nat inside source static tcp 172.16.3.20 21 219.106.196.83 21 extendable Ip nat inside source static tcp 172.16.3.30 80 219.106.196.84 80 extendable Ip nat inside source static tcp 172.16.3.30 21 219.106.196.84 21 extendable //内部员工上网可以做动态翻译,一劳永逸。 //服务器区域设备可以采用静态的一对一翻译, //这样只是把服务器需要用到的端口翻译出去就可以了, //此处我们以web服务器为例。 Ip route 0.0.0.0 0.0.0.0 218.247.142.193 Ip route 0.0.0.0 0.0.0.0 219.106.196.81 Access-list 1 permit 172.16.0.0 0.0.0.255 Access-list 1 permit 172.16.1.0 0.0.0.255 Access-list 1 permit 172.16.2.0 0.0.0.255 Access-list 2 permit 172.16.3.0 0.0.0.255 route-map vfast permit 10 //定义route-map ,命名此策略名为vfast,配置其permit序列10 match ip address 1 //应用acl-1中允许通过的网段地址 set interface FastEthernet0/1 //指定出口为Fastethetnet 0/1 ! route-map vfast permit 20 match ip address 2 set interface FastEthernet0/2 ! |
|
0
|
评论加载中…
