双出口映射方案配置说明.doc

联想网御科技(北京)有限公司声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出版或发行,违者必究 1 双出口映射方案配置说明案例背景: 随着用户对业务可靠性及冗余性的持续关注,有些用户处会有两条或多条链路接入公网,同时把内部服务器对外提供不同链路上的多个公网 IP 的访问。本例将详细介绍双出口映射方案的配置及注意事项。案例拓扑: 图1—原部署拓扑图联想网御科技(北京)有限公司声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出版或发行,违者必究 2 双出口映射的方式,即需要将网通: Fe2 :21 0. 00 /24 以及电信: Fe3 :2 18. 24 9. 81 .2 00 /24 两个地址同时映射到服务器 Server 的 IP :. 1 .2 00 /24 上。但这种情况下,服务器给远程客户端回包时,不管远程客户端通过哪个入口映射进来访问服务器,防火墙看回包的源地址都是内网服务器 IP: ,目标地址也均为远程客户端的 IP。由于路由是基于 IP 来进行的, 而回包的源目的 IP 都一样, 这样会造成数据路由选择会从同一个出口出去。以下我们看一下防火墙对数据包的处理流程简图,以加深理解。注意数据包回包时从哪个接口转发出去的决定权在于路由表。如果只设一个默认网关或静态路由为指向电信, 图例中来自网通的访问请求, 由于防火墙默认网关或静态路由指向电信的原因, Server 回应的数据包一定会从电信线路回应出去的,出现了数据包流入、流出路径不一致的问题出现。对此问题的解决办法如下,先看改造后的拓扑图: 联想网御科技(北京)有限公司声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出版或发行,违者必究 3 图2—改造方案后拓扑图注意该拓扑图最重要的变化就是在该服务器上配置了两个 IP ,此方案对服务器的要求就是可以使用多个 IP 地址提供相关的服务应用(如 IIS 、 Server-U 等等服务软件)。双出口 IP 映射最关键的问题是在回包过程的路由问题,而我们可以通过把网通出口的 IP 映射到 Server_IP1 ( 网通): , 电信出口的 IP 映射到 Server_IP2 ( 电信): 。然后设置源地址策略路由对不同的源地址选取相应的出口。总结一下:解决该问题的关键就是通过在服务器上对应于不同的出口 IP 配置不同的映射地址,并在防火墙做好相对应的映射关系,最后对回包可以根据这几个不同的源地址,进行源地址策略路由。这样我们就能够实现远端客户端的访问从哪个外网口进, 就从哪个外网口出。该方案具体配置如下: 防火墙的主要配置 a 、网络配置 b、 IP 映射规则联想网御科技(北京)有限公司声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出版或发行,违者必究 4 c 、策略路由配置联想网御科技(北京)有限公司声