你在防火墙上面做双链路负载,做IP地址映射.把路由器接到内网,在路有器上面做到网通和电信的路由,那样上网的话电信的就可以走电信的网通就可以走网通的,

引用:

原帖由 conquer 于 2008-1-17 10:06 发表
你在防火墙上面做双链路负载,做IP地址映射.把路由器接到内网,在路有器上面做到网通和电信的路由,那样上网的话电信的就可以走电信的网通就可以走网通的,

关键的出现了,我怎么在路由器上 做到网通与电信的路由 ??  而且关于他放在内网上我应该怎么设置  真是很难 啊

我也有这个问题。。。1条4M的光纤。1条2M的ADSL都是固定IP。。。。。怎么控制，现在2M ADSL都没用上。。。说不能2个出口。。。。HELP

路由器不能不用吗？
双线进防火墙，二个UNTRUST，在路由表里调一下默认路由的优先级，这样在有一个ISP出问题时，所有流量都会转发到另一个ISP上，然后在防火墙上做源路由。
用防火墙做负责均衡是不行的，要用专用设备，如果要求不高，可以用防火墙做。
你的情况属于流量的优化，也就是需要手工指定内部的流量走哪个ISP，并不是真正的负戴均衡。

我现在不是一个ISP出问题另一个接上用，是某些固定的IP走固定的ISP

引用:

原帖由 fevath 于 2008-1-21 13:59 发表
路由器不能不用吗？
双线进防火墙，二个UNTRUST，在路由表里调一下默认路由的优先级，这样在有一个ISP出问题时，所有流量都会转发到另一个ISP上，然后在防火墙上做源路由。
用防火墙做负责均衡是不行的，要用专用设 ...

我想请问一下: 下面这个方案可以么>>???
ROUTER>EN
ROUTER#CONFIG T


Router(Config)>int fa 0/0
Router(Config-if)>ip addr 192.168.0.1 255.255.255.0
Router(Config-if)>ip nat inside
Router(Config-if)>ip policy route-map dual_isp

Router(Config-if)>int fa 0/1.1
Router(Config-if)>ip addr 电信分配的地址
Router(Config-if)>no shut
Router(Config-if)>ip nat outside


Router(Config-if)>int fa 0/1.2
Router(Config-if)>ip addr 网通分配的地址
Router(Config-if)>no shut
Router(Config-if)>ip nat outside


Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.96.0.0 255.255.192.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.96.64.0 255.255.224.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.97.128.0 255.255.128.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.98.0.0 255.255.224.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.99.0.0 255.255.255.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.0.0.0 255.252.0.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.10.0.0 255.255.0.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.11.0.0 255.255.128.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.11.128.0 255.255.192.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.11.192.0 255.255.224.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.12.0.0 255.255.128.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.12.128.0 255.255.192.0
Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.13.0.0 255.255.192.0


Router(Config)>Access-list 102 permit Ip any any
Router(Config)>Ip Nat Inside Source Route-map CT_NAT int fa 0/1 overload
Router(Config)>Ip Nat Inside Source Route-map CNC_NAT int fa 1/0 overload


Router(Config)>Route-map CT_NAT Permit 10
Router(Config-route-map)>Match Int Fa 0/1
（这里不会匹配外面发给它的包，因为DNAT优先与路由选择）


Router(Config)>Route-map CNC_NAT Permit 10
Router(Config-route-map)>Match Int fa1/0
（指这个接口所收到的所有包除了DNAT匹配的，会先进行目标转换这样目标并不会是FA1/0而是内部的一个IP，这里其实可以写next-hop便于理解，也便于检测对方的存在）

Router(Config)>Route-map dual_isp Permit 10
Router(Config-route-map)>Match Ip address 101

Router(Config-route-map)>set ip next-hop 网通网关  电信网关 （这里恰好把包发给了NAT所需要的接口，注意这里只是改变了包的下一跳而不是目标。还要注意这里并不是把包扔给了next-hop而是改变了寻路方式，转发将在此之后进行寻路之后便是源地址转换：路由器2大功能 寻路，转发是分开的，由此可以看出，如果策略NAT里匹配的是对方ISP的地址为下一跳，那可以检测对方的存在与否）

Router(Config)>Route-map dual_isp Permit 20
Router(Config-route-map)>Match Ip address 102
Router(Config-route-map)>set ip next-hop 电信网关  网通网关


Router(Config)>Ip Route 0.0.0.0 0.0.0.0 电信网关
Router(Config)>Ip Route 0.0.0.0 0.0.0.0 网通网关
（注意 PBR优先与路由，而源地址转换 路由又优先与NAT那PBR会比NAT先进行，所以首先因该是进行PBR把包分类，扔给2个出口，之后再做路由选择 路由是默认的没什么，之后就是NAT了，策略一看在2出口上收到的包分别进行自己的策略NAT，当回来的时候，2个出口上收到的包并不会进行源转换为什么？因为DNAT优先与路由，源比路由还慢所以DNAT是最先进行的。还有match next hop 匹配多个下一跳 是与的关系也就是说要满足 全部的match才会用动作所以 前面不能match 多个nexthop，否则一定砸了，只能match 一个nexthop,当然set可以set多个。 ）


此策略路由和策略nat说明：目的地址为网通地址的包全部发给网通网关，其他一律发给电信，由于网通地址段较少，所以选择了做网通的acl条目，减轻工作量，



说明：策略nat部分也可以用match acl的方式，但是发现实际速度很慢，不知道原因，可能是需要逐条匹配吧
但是最好用match interface的方式，因为只有这样才能实现备份，如果接口down掉，就不会在match接口，但是如果用acl，则会因为永远match而pat成已经down掉接口的地址，但是路由会从另一接口走掉，同样很慢了就。地址段在今后逐渐补全。trace分析表明：基本上包都走对路了。而且速度比原来单接口时访问其他isp网明显加快了。经典之处：next-hop 的顺序

楼上的，把你的需求说一下，在能满足需求的前提下，尽量简化网络结构是必要的。
我理解的你的需求就是同时用二个ISP接入，下面服务域和客户域二个网络要分别使用不同的ISP连接到INTERNET，把你的需求再写得详细一些

[ 本帖最后由 fevath 于 2008-1-25 14:02 编辑 ]

引用:

原帖由 fevath 于 2008-1-25 14:01 发表
楼上的，把你的需求说一下，在能满足需求的前提下，尽量简化网络结构是必要的。
我理解的你的需求就是同时用二个ISP接入，下面服务域和客户域二个网络要分别使用不同的ISP连接到INTERNET，把你的需求再写得详细一些

好的我的网络需求就是:  
因为我的内部网络就两个域: 一个服务器域  一个用户域
:1.局域网内部服务器能够 被双线访问(就是电信的用户通过电信的光纤来进行访问(运用的是电信的服务器影射IP) 网通的通过网通来进行访问(网通的服务器的映射IP)!);服务器访问外面就不需要切换,走其中的一条光纤就可以.
2.关于用户也没有切换要求,只是能规定局域网内的IP段分别走哪条光纤就行. 用户当然也能访问我的服务器域.

需求几乎就是这样  感觉说的很详细   ,谢谢了   等待您的解决   !