利用策略路由+NAT实现局域网双路出口.pdf

《利用策略路由+NAT实现局域网双路出口.pdf》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、信息技术2017年第1期科技创新与应用利用策略路由+NAT实现局域网双路出口胡波周明华陈晓琪（湖北省武汉市水文水资源勘测局，湖北武汉430074）摘要：以武汉水文局现有局域网为例，简述几种局域网双路出口的方式，然后根据现实条件以及网络环境介绍基于策略路由+NAT的方式实现局域网双路出口。关键词：局域网；双路出口；防火墙；策略路由+NAT1概述“目的”分别设为防火墙上绑定的移动和电信接口上，这样就将内网武汉水文局自2011年办公局域网建成，一直使用一条20M中源地址的数据包通过NAT方式转换为移动和

2、电信的地址。国移动宽带进行Internet访问。近年来随着网络办公的普及以及局接下来配置策略路由，因之前已经把移动的出口路由配置到路域网终端增多，局域网访问外网速度出现了明显的下滑，影响到日由表里面，加上数据报到出口的发送的顺序依次是策略路由、路由、常的互联网业务服务工作。为了提高办公局域网的上网速度，武汉NAT，所以这里只需添加一条电信出口的策略路由，首先在防火墙水文局新增了一条25M中国电信宽带进行扩容。的“网络管理”-“路由”中添加“策略路由”入接口为“global”如表2；2网络结构及需求

3、然后通过源地址进行默认路由设置，将办公网段和水质中心网段作武汉水文局办公局域网根据终端节点的访问需求划分三段为源地址，目的地址为“0.0.0.0”网关为电信提供的对端网关，这样策Vlan分别为：办公网段Vlan1192.168.3.0；网络分中心网段Vlan2略路由和路由先后选择进行数据包的发送，已达到不同网段从不同10.42.10.128；水质中心网段Vlan3192.168.1.0。这三条网段通过回指的出口进行对Internet的访问。路由172.16.0.5节点连接到外网（中国移动）防火墙上

4、与互联网相表2策略路由表通。此次新增一条中国电信25M宽带，在尽可能不增加网络设备以
及不改变现有网络结构的情况下，实现办公局域网内终端双路出口 上网以提高网络访问速度。 经过对防火墙以上设置后，在防火墙上的
“连接信息”（图2）可以看出不同网段进过转换后源地址分别指向了移动和电信的网络出口，同时在日常上网高峰时段在防火墙上的“接口流量”（图3）可以看出移动电信的接

5、口将终端上网流量进行了分流。图1武汉局现有网络拓扑结构图3方案选择及实施实现局域网双路出口上网有三种解决方案。方案一是新增一台图2防火墙连接信息图电信防火墙，让一部分终端用户走电信宽带，一部分终端用户走移动宽带。方案二是更换具有ECMP（等价多路径）功能的新防火墙，ECMP功能可在防火墙路由表上直接添加两条默认路由的方式，实现源地址访问目标地址时在多路径情况时自动实现负载均衡和链路备份。以上两种方案一个采用传统模式，一个采用现阶段比较流行模式，均能满足需求，但是都必须增加或更换现有的网络设备，甚至

6、还要修改现有的网络拓扑结构，加大了网络改造成本、增加运维图3防火墙接口流量图难度。4结束语通过进一步对路由访问技术的深入了解，我们发现第三种方案武汉水文局选择策略路由+NAT的形式解决了上网分流的问既不增加设备成本、不改变网络结构，同时又能满足我们的需求。即题，虽有效的提高了局域网内终端上网速度，但是毕竟策略路由是利用策略路由+NAT技术，从访问的源地址下手解决此问题。通过指数据包转发规则，路由器要对每一个IP包进行匹配运算，根据规则定办公网段和水质中心网段通过电信网关61.183.182.185

7、访问In－来判断数据包的源地址、以及各种协议及其它信息，这样会占用大ternet，指定网络分中心网段通过移动网关211.137.73.185访问In－量设备运行资源。在有条件的情况下对双路出口或者多出口网络进ternet，这样当内网源地址通过核心交换机到防火墙路由表，防火墙行优化改造时，还是应该优先选用具有ECMP功能同时结合OSPF路由表根据源地址和目的地址判断数据包的下一跳网关，即选择源路由协议的防火墙。这样既能实现链路自动切换达到负载均衡，也地址该由哪条线路出口上网。能有效的实现物理链路互为

8、备份，从而提高网络的可靠和冗余性，具体实施步骤，首先在防火墙原有接口ETH10(移动公网网关)确保网络的高可用性。和ETH11（内网网关）的基础上增加接口ETH13绑定（电信公网网关），然后在“防火墙”-“地址转换”中添加两条如表1的源转换条目将“源”分别指定为需通过电信出口的网段和移动出口的网段，将表1NAT转换列表
 !"#$%