本站小编为你精心准备了双互联网出口实现参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
为了提高局域网的上网质量,单位分别租用了电信和移动两路互联网出口,为了达到充分利用这两路互联网出口的目的,我们使用了一台三端口的硬件防火墙(型号为CISCOPIX520),从系统的软件升级到调试成功前后经历了一周左右的时间。经过一段时间的实践验证,该系统运行稳定,确实达到了流量分担和互为备份的功能,下面是具体的实现过程。1确定双互联网出口的实现方式当我们做完PIX520硬件防火墙的软硬件升级后,根据实际情况。最终的互联网双出口的使用方案为:当用户访问电信的网站的时候走电信的出口(通过静态路由实现),访问其他的网站均走移动的出口(通过默认路由实现)。这样兼顾了效率和可行性。2PIX520硬件防火墙的软硬件升级和组网拓扑图本次双互联网出口的实现关键设备为PIX520,有3个网络模块,即可以实现两进(接两路互联网出口)一出(连接内部局域网):升级了防火墙的软件版本至6.3,相关信息如下:pixfirewall#showverCiscoPIXFirewallVersion6.3(5)CiscoPIXDeviceManagerVersion3.0(4)0:ethernet0:addressis00d0.b78f.2cfc.irq111:ethernet1:addressis00d0.b784.f820.irq152:ethernet2:addressis0002.b326.ad25.irq10在这里要介绍一下PIX520防火墙的网络模块命名规则,第一块网卡名为e0,连接外网。第二块网卡名为e1,连接内网(这两个网络模块是系统自带的,名字和连接的网络不可修改)。以后新加的网络模块依次为e2、e3、e4等,可以视所连接的网络自行定义,本例中我们新增了一块连接电信网段的网络模块,命名为e2。组网拓扑如图1所示:3具体配置步骤如图1所示,PIX520防火墙的e0口连移动,e2口连电信,下面是具体的步骤:(1)为网络模块命名nameifethernet0outsidesecurity0nameifethernet1insidesecurity100nameifethernet2outside2security0定义了e0口为连移动的口,e2口为连电信的口,e1口为连内网的口。(2)定义网口的lP地址ipaddressoutside218.*.*.105255.255.255.240ipaddressoutside2222,*.*,93255.255.255.224addressinside192.168.201.1255.255.255.0连接移动的网卡的lP地址为218.*.*.105,连接电信的网卡的IP地址为222.*.*.93。连接内网的网卡的IP地址为192.168.2011。(3)设置访问电信的网段走电信的口routeoutside211.0.0.0255.252.0.0222.*.*.651通过静态路由来实现,电信的网段有多个,这些静态路由也要相应地写多条,本例中只列举了其中一条。(4)设置默认路由routeoutside0.0.0.0.0.0.0.0218.*.*.971这里要注意route后面跟的是e0网卡的名称。(5)设置指向内部网络的路由routeinside10.0.0.0255.0.0.0192,168.201,21routeinside192.168.0.0255.255.0.0192.168.201.21routeinside172.19.0.0255.255.0.0192.168.201.21同理,内部局域网中有多个网段(通过在三层交换机上创建相应的VLAN),我们就要在PIX520防火墙上针对内部网段写多条路由。本例中我们列举了三条。(6)配置动态NAT①创建一个ACL,里面包含允许访问外部网络的网段access-listacl_insidedenyudpanyanyeatftp……(省略了多条不允许进行的网络访问规则)access-listacl_nsidepermitioanyany这个名为acl_inside的ACL很重要,它描述了一些不允许访问的端口(主要是为了防止网络攻击),然后放开了其他的限制(即per-mitipanyany)。②在内网端口上应用这个ACLaccess-groupacl_insidelninterfaceinside③分别在两个外网端口上应用这个ACLaccess-groupacl_insideininterfaceoutsideaccess-groupacl_insideininterfaceoutside2④执行动态NAT(PAT)global(outside)1interfaceglobal(outside2)1interfacenat(inside)10.0.0.0.00.0.0.0.0我们在PIX520防火墙上采用PAT(端口映射)的NAT方式。4双互联网出口的测试局域网用户可以通过tracert命令针对分别位于移动和电信运营商的网站进行测试。确实实现了访问电信的网段走电信的出口,其余的均走移动的出口的设计思路,而且我们还通过MRTG软件对防火墙的各个端口进行了流量监控,连接电信和移动的端口均有一定的流量,同时证明我们双互联网出口的实现是成功的。