Freitag, Dezember 12, 2008

NAT mit zwei Internet Providern

Eine subere Verbindung ins Internet mit Zwei Providern zu bekommen ist nicht so einfach mit folgender Configuration zu lösen.

Nicht funtionierende Lösung

--- snip ---
interface FastEthernet 0
  description LAN
  ip address 192.168.20.1 255.255.255.0
  ip nat inside
!
interface Dialer 1
  description Provider 1
  ip nat outside
!
interface Dialer 2
  description Provider 2
  ip nat outside
!
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 2 permit 192.168.20.0 0.0.0.255
!
ip nat inside source list 1 interface Dialer 1 overload
ip nat inside source list 2 interface Dialer 2 overload
!
ip route 0.0.0.0 0.0.0.0 Dialer 1
ip route 0.0.0.0 0.0.0.0 Dialer 2
--- snip ---</pre>

Hier bei kommt es dann zu lustigen Effekten mit den Source Addressen. 
Bzw. durch Packet basiertes Load Balancing kann es sein das nichts Funktioniert oder man im besten Fall nur den Upload verbessert hat.

Die von uns geforterte Configuration benötigte noch das Goodie das ausgehende E-Mails nur über den zweiten Provider zu versenden sind. Da hinter dem Router ein Mail Server mit eigener Domain betrieben wird. 
Dazu aber in einem anderen Posting mehr. 

<h3>Die Lösung könnte folgendermaßen aussehen:</h3>

<pre>--- snip ---
interface FastEthernet 0
  description LAN
  ip address 192.168.20.1 255.255.255.0
  ip nat inside
!
interface Dialer 1
  description Provider 1
  ip nat outside
!
interface Dialer 2
  description Provider 2
  ip nat outside
!
access-list 1 permit 192.168.20.0 0.0.0.255
!
! Die ACL definiert den Verkehr der durch den NAT Process geschickt wird. 
!
route−map dialer1−nat permit 10
match ip address 1
match interface Dialer1
!
route−map dialer2−nat permit 10
match ip address 1
match interface Dialer 2
!
! Die Route-Maps binden die NAT Acl an das ISP Seitige Interface des Routers.
! 
ip nat inside source route−map dialer1−nat interface Dialer1 overload
ip nat inside source route−map dialer2−nat interface Dialer2 overload
!
!
!
ip route 0.0.0.0 0.0.0.0 Dialer 1
ip route 0.0.0.0 0.0.0.0 Dialer 2
!
--- snip ---

Überprüfung

  • show ip nat translation Zeigt die aktuellen NAT Sessions an.
  • show ip route Zeigt die Aktiven Routen an.
  • Weiter gehende Informationen findet ihr unter folgendem Link: Cisco IOS NAT Load-Balancing and Zone-Based Policy Firewall with Optimized Edge Routing For Two Internet Connections

    Keine Kommentare: