H3C策略路由双线发布服务器

策略路由双线发布服务器一、需求分析1、企业双线接入2、内部web服务器对外发布，电信用户通过电信线路访问，移动用户通过移动线路访问3、内部服务器可以访问公网，平时通过电信访问，移动做备份，如果电信出问题了，自动切换到移动线路二、难点剖析：从外到内的访问：1、web服务器必须配置双地址因为在防火墙上做端口映射，一个内网IP的80端口是无法同时映射到两个公网IP的80端口的，设备都不支持这样的用法，所以我们必须给内网服务器配双地址，一个内网IP映射到一个公网IP.（cisco和锐捷的设备支持一对多的映射）2、必须使用策略路由才能实现双线正常访问内网服务器此时使用策略路由的原理是这样的，我们将服务器的第一个IP映射到电信外网口，将服务器的第二个IP映射到移动外网口，我们使用策略路由，可以实现从哪个口进来的流量，从哪个口出去。这样，移动用户访问移动的外网口，服务器反馈的流量就会从移动外网口返回，电信的用户访问电信的外网口，服务器反馈的流量就会从电信的外网口返回。有这两条策略，就可以保证外网双线访问内网服务器从内到外的访问：1、服务器设同网段的双地址，但网关只有一个2、在防火墙上，需要写两条默认路由，通过修改管理距离，可以实现主备线路。指向电信的默认路由管理距离设低些，指向移动的管理距离要高一些，这样所有流量都用电信的线上网，只有电信线路出问题的时候，才会走移动的线路3、有这两条策略，就可以保证从内向外的访问。三、实现方式简单的理解最后构成这样一种模式：从电信来的访问一一映射到IP1的80口一一IP1的回包一一匹配route-policy的第一条策略走电信的下一跳一一nat转换源IP1为电信公网IP应答电信用户从移动来的访问一一映射到IP2的80口一一IP2的回包一一匹配route-policy的第二条策略走移动的下一跳一一nat转换源IP2为移动公网IP应答移动用户注意点1、是先进行策略路由，后进行nat转换2、策略路由只能用到内网口上3、如果只是用策略路由，只能实现内网外的双线访问，外网用户将无法telnet、ping、web管理出口的设备，因为没有静态路由指明出口方向，这里又是一个能访问远点却无法访问近点的经典案例五、H3CF100-S防火墙配置命令端口映射：定义route-policy用的acl定义route-policy，引用aclRoute-policydouble-linepermitnode10If-matchacl3000Applyinterfacef0/1Route-policydouble-linepermitnode20If-matchacl3001Applyinterfacef0/2将route-policy应用到内网接口Interfacef0/0Ippolicyroute-policydouble-line此时就可以实现从外到内的访问了写两条默认路由，指向电信的管理距离设为100,指向移动的管理距离不修改，Iproute-staticf0/0100两条NAT挂在不同的外网接口在两个外网接口上开启nat转换,复用外网接口IPInterfacef0/0Natoutbound2000Interface0/1Natoutbound2000