双互联网出口的实现

为了提高局域网的上网质量，单位分别租用了电信和移动两路互联网出口，为了达到充分利用这两路互联网出口的目的，我们使用了一台三端口的硬件防火墙(型号为CISCO PIX520)，从系统的软件升级到调试成功前后经历了一周左右的时间。经过一段时间的实践验证，该系统运行稳定，确实达到了流量分担和互为备份的功能，下面是具体的实现过程。

1　确定双互联网出口的实现方式

当我们做完PIX520硬件防火墙的软硬件升级后，根据实际情况。最终的互联网双出口的使用方案为：当用户访问电信的网站的时候走电信的出口(通过静态路由实现)，访问其他的网站均走移动的出口(通过默认路由实现)。这样兼顾了效率和可行性。

2　PIX520硬件防火墙的软硬件升级和组网拓扑图

本次双互联网出口的实现关键设备为PIX520，有3个网络模块，即可以实现两进(接两路互联网出口)一出(连接内部局域网)：升级了防火墙的软件版本至6.3，相关信息如下：

pixfirewall# show ver

Cisco PIX Firewall Version 6.3(5)

Cisco PIX Device Manager Version 3.0(4)

0:ethernet0: address is 00d0.b78f.2cfc.irq 11

1:ethernet1 : address is 00d0.b784.f820.irq 15

2:ethernet2: address is 0002.b326.ad25.irq 10

在这里要介绍一下PIX520防火墙的网络模块命名规则，第一块网卡名为e0，连接外网。第二块网卡名为e1，连接内网(这两个网络模块是系统自带的，名字和连接的网络不可修改)。以后新加的网络模块依次为e2、e3、e4等，可以视所连接的网络自行定义，本例中我们新增了一块连接电信网段的网络模块，命名为e2。

组网拓扑如图1所示：

3　具体配置步骤

如图1所示，PIX520防火墙的e0口连移动，e2口连电信，下面是具体的步骤：

(1)为网络模块命名

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 outside2 security0

定义了e0口为连移动的口，e2口为连电信的口，e1口为连内网的口。

(2)定义网口的lP地址

ip address outside 218.*.*.105 255.255.255.240

ip address outside2 222,*.*,93 255.255.255.224

address inside 192.168.201.1 255.255.255.0

连接移动的网卡的lP地址为218.*.*.105，连接电信的网卡的IP地址为222.*.*.93。连接内网的网卡的IP地址为192.168.2011。

(3)设置访问电信的网段走电信的口

route outside2 11.0.0.0 255.252.0.0 222.*.*.65 1

通过静态路由来实现，电信的网段有多个，这些静态路由也要相应地写多条，本例中只列举了其中一条。

(4)设置默认路由

route outside 0.0.0.0.0.0.0.0 218.*.*.97 1

这里要注意route后面跟的是e0网卡的名称。

(5)设置指向内部网络的路由

route inside 10.0.0.0 255.0.0.0 192,168.201,2 1

route inside 192.168.0.0 255.255.0.0 192.168.201.2 1

route inside 172.19.0.0 255.255.0.0 192.168.201.2 1

同理，内部局域网中有多个网段(通过在三层交换机上创建相应的VLAN)，我们就要在PIX520防火墙上针对内部网段写多条路由。本例中我们列举了三条。

(6)配置动态NAT

①创建一个ACL，里面包含允许访问外部网络的网段

access-list acl_inside deny udp any any ea tftp

……(省略了多条不允许进行的网络访问规则)

access-list acl_nside permit io any any

这个名为acl_inside的ACL很重要，它描述了一些不允许访问的端口(主要是为了防止网络攻击)，然后放开了其他的限制(即per-mit ip anyany)。

②在内网端口上应用这个ACL

access-group acl_inside ln interface inside

③分别在两个外网端口上应用这个ACL

access-group acl_inside in interface outside

access-group acl_inside in interface outside2

④执行动态NAT(PAT)

global(outside)1 interface

global(outside2)1 interface

nat(inside)1 0.0.0.0.0 0.0.0.0.0

我们在PIX520防火墙上采用PAT(端口映射)的NAT方式。

4　双互联网出口的测试

局域网用户可以通过tracert命令针对分别位于移动和电信运营商的网站进行测试。确实实现了访问电信的网段走电信的出口，其余的均走移动的出口的设计思路，而且我们还通过MRTG软件对防火墙的各个端口进行了流量监控，连接电信和移动的端口均有一定的流量，同时证明我们双互联网出口的实现是成功的。