例如:路由器内网IP为192.168.0.1交换机端vlanip段192.168.1.0---192.168.2.0路由器段配置:添加一条静态路由,网段为192.168.0.0掩码为255.255.0.0目的网关:192.168.0.254核心交换机配置:iproute-static0.0.0.00192.168.1.254路由器内部为地址:192.168.1.2541、路由器的配置:interfaceFastEthernet0/0ipaddress10.212.80.90255.255.255.0ipnatoutsideduplexautospeedautointerfaceFastEthernet0/1ipaddress192.168.1.254255.255.255.0ipnatinsideduplexautospeedautoipnatinsidesourcelist1interfaceFastEthernet0/0overloadipclasslessiproute192.168.1.0255.255.255.0192.168.1.1iproute192.168.2.0255.255.255.0192.168.1.1access-list1permit192.168.0.00.0.255.255iproute0.0.0.00.0.0.0192.168.1.254环境描述:使用设备为Cisco2621XM+NE-1E模块,该配置拥有两个FastEthernet及一个Ethernet端口。现使用Ethernet1/0端口连接内部局域网,模拟内部拥有100.100.23.0255.255.0.0与100.100.24.0255.255.0.0两组客户机情况下基于原地址的策略路由。Fastethernet0/0模拟第一个ISP接入端口,Fastethernet0/1模拟第二个ISP接入端口,地址分别为Fastethernet0/0的ip地址192.168.1.2255.255.255.0对端ISP地址192.168.1.1255.255.255.0Fastethernet0/1的ip地址192.168.2.2255.255.255.0对端ISP地址192.168.2.1255.255.255.0通过策略路由后对不同原地址数据流量进行分流,使得不同原地址主机通过不同ISP接口访问Internet,并为不同原地址主机同不同NAT地址进行转换。具体配置:version12.2servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnameRouter!ipsubnet-zerocallrsvp-sync!interfaceFastEthernet0/0--------------------假设该端口为ISP1接入端口ipaddress192.168.1.2255.255.255.0--------分配地址ipnatoutside--------指定为NATOutside端口duplexautospeedauto!interfaceFastEthernet0/1--------------------假设该端口为ISP2接入端口ipaddress192.168.2.2255.255.255.0--------分配地址ipnatoutside--------指定为NATOutside端口duplexautospeedauto!interfaceEthernet1/0--------------------假设该端口为内部网络端口ipaddress100.100.255.254255.255.0.0--------分配地址ipnatinside--------指定为NATInside端口ippolicyroute-mapt0--------在该端口上使用route-mapt0进行策略控制half-duplex!ipnatinsidesourcelist1interfaceFastEthernet0/0overload------Nat转换,指定原地址为100.100.23.0的主机使用Fastethernet0/0的地址进行转换ipnatinsidesourcelist2interfaceFastEthernet0/1overload------Nat转换,指定原地址为100.100.24.0的主机使用Fastethernet0/1的地址进行转换ipclasslessiproute0.0.0.00.0.0.0192.168.2.1------静态路由,对Internet的访问通过192.168.2.1(ISP2)链路iproute0.0.0.00.0.0.0192.168.1.1------静态路由,对Internet的访问通过192.168.1.1(ISP1)链路iphttpserver静太路由不起很大的作用,因为存在策略路由,主要是setint要求有显示的去往目的的路由!access-list1permit100.100.23.00.0.0.255----访问控制列表1,用于过滤原地址,允许100.100.23.0网段主机流量通过access-list2permit100.100.24.00.0.0.255----访问控制列表2,用于过滤原地址,允许100.100.23.0网段主机流量通过如果做setint备份,则acl1,acl2应该允许所有的,进行natroute-mapt0permit10----定义route-mapt0,permit序列为10matchipaddress1----检查原地址,允许100.100.23.0网段地址setinterfaceFastEthernet0/0----指定出口为Fastethetnet0/0(setinterfaceFastEthernet0/1)我认为可以做备份!route-mapt0permit20----定义route-mapt0,permit序列为20matchipaddress2----检查原地址,允许100.100.24.0网段地址setinterfaceFastEthernet0/1----指定出口为Fastethetnet0/1!(setinterfaceFastEthernet0/1)我认为可做备份!dial-peercorcustomlinecon0lineaux0linevty04!end效果检验:察看路由表Router#showiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticroute100.0.0.0/16issubnetted,1subnetsC100.100.0.0isdirectlyconnected,Ethernet1/0C192.168.1.0/24isdirectlyconnected,FastEthernet0/0C192.168.2.0/24isdirectlyconnected,FastEthernet0/1S*0.0.0.0/0[1/0]via192.168.1.1[1/0]via192.168.2.1发现静态路由存在两条路径!察看ipNattranslationsRouter#shoipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp192.168.1.2:1024100.100.23.23:10241.1.1.1:10241.1.1.1:1024icmp192.168.2.2:1280100.100.24.23:12801.1.1.1:12801.1.1.1:1280由于路由器外部存在1.1.1.1的地址,用于模拟Internet公网地址,发现不同网段内部主机流量确实已经从不同出口访问外部资源,并且使用了不同Nat进行地址转换!注:大部分多ISP情况下都要使用NAT地址转换功能,但有些特殊情况下不需使用NAT功能,如果不是用NAT,就将配置中的有关NAT的配置去掉,如此配置中去掉ipnatinsidesourcelist1interfaceFastEthernet0/0overload和ipnatinsidesourcelist2interfaceFastEthernet0/1overload以及在端口上去掉ipNatoutside和ipnatinside的配置,就可以实现不用NAT的策略路由。以上试验可以实现基于原地址的策略路由功能,可以根据内网原地址进行不同流量通过不同ISP接口访问Internet的功能,但仍没有实现双链路相互备份的功能,即当任意一条链路出现故障的时候无法自动使用另一条链路进行备份,造成一部分相应的内网主机无法访问外网的情况。