设为首页   锐捷官网
用其他帐号登录:
查看: 2390|回复: 7

[求助] 路由器双出口IP时用户只能同时访问1路

[复制链接]

1

主题

5

帖子

23

积分

新手上路

Rank: 1

积分
23
发表于 2016-2-21 10:35:12 | 显示全部楼层 |阅读模式
本帖 * 后由 pzy4447 于 2016-2-23 11:26 编辑

RSR-20路由器接入西安联通和西安移动专线各一根,分别配置出口IP为A和B。做策略路由实现出口线路的热备。内网架设一个VPN供外网访问,分别在两个出口上做端口映射。

现在的问题是:
对于所有用户,两出口IP均能ping通,但是访问端口时会有问题:
1.访问路由器自身的WEB,两个出口均可访问;
2.如果两出口同时启用,用户要么只能访问移动出口,要么或只能访问联通出口;
3.如果只启用一个出口,用户访问一切正常(无论用户是移动联通还是电信);
4.联通用户,有时可同时访问两个出口。(有时可以有时不行)

那么问题是出在哪里,设备问题还是运营商问题?
是不是路由器不能为一个设备做2个端口映射?或者是运营商做了什么限制?
希望得到有经验的兄弟们解答,谢谢!

设备主要配置如下:
===========VLAN划分=============
//联通专线
vlan 158
name TO_LIANTONG
!
//移动专线
vlan 61
name TO_YIDONG
!
//内网服务器
vlan 1
name server

//内网设备IP
vlan 100
name deviceManage
!

//内网用户
vlan 245
name user-internet

===========设备接口=============
//移动专线
interface VLAN 61
ip nat outside
        //移动公网IP
ip address 111.x.61.x 255.255.255.248
dldp 111.x.61.x
description to_yidong
!
//联通专线
interface VLAN 158
ip nat outside
        //联通公网IP
ip address 123.x.158.x 255.255.255.248
dldp 123.x.158.x

//内网服务器
interface VLAN 1
ip nat inside
ip policy route-map ruijie
ip address 10.x.1.1 255.255.255.0
!
//内网设备IP
interface VLAN 100
ip nat inside
ip address 10.x.0.1 255.255.255.0
!
//内网用户
interface VLAN 245
ip nat inside
ip policy route-map ruijie
ip address 192.x.245.1 255.255.255.0
!
//联通专线所在接口
interface FastEthernet 1/0
switchport access vlan 158
!
//移动专线所在接口
interface FastEthernet 1/2
switchport access vlan 61
!
!
//设备级联接口
interface FastEthernet 1/12
switchport mode trunk
!
===========策略路由=============
//联通
route-map ruijie permit 10
match ip address liantong
set ip next-hop 123.x.158.x
!
//移动
route-map ruijie permit 20
match ip address yidong
set ip next-hop 111.x.61.x
!
!

!
ip access-list standard 1
10 permit host 192.x.245.115
!
!
ip access-list extended liantong//只放行192.x.245.0
10 deny ip 192.x.0.0 0.0.255.255 10.x.0.0 0.0.255.255
11 deny ip 10.x.0.0 0.0.255.255 10.x.0.0 0.0.255.255
12 deny ip 192.x.0.0 0.0.255.255 192.x.0.0 0.0.255.255
20 permit ip 192.x.245.0 0.0.0.255 any
!
!
ip access-list extended web_nat_addr_pool
10240 permit ip any any
!
!
ip access-list extended yidong//只放行10.x.1.0
10 deny ip 10.x.0.0 0.0.255.255 192.x.0.0 0.0.255.255
11 deny ip 10.x.0.0 0.0.255.255 10.x.0.0 0.0.255.255
12 deny ip 192.x.0.0 0.0.255.255 192.x.0.0 0.0.255.255
20 permit ip 10.x.1.0 0.0.0.255 any
!
ip nat pool web_nat_addr_pool prefix-length 24
address interface VLAN 158 match interface VLAN 158
address interface VLAN 61 match interface VLAN 61
!
===========端口映射=============
//两个出口映射到同一个VPN设备(0.31)的相同端口
ip nat inside source static udp 10.x.0.31 500 interface VLAN 61 500
ip nat inside source static udp 10.x.0.31 4500 interface VLAN 61 4500
ip nat inside source static tcp 10.x.0.31 443 interface VLAN 61 8080
ip nat inside source static udp 10.x.0.31 500 interface VLAN 158 500
ip nat inside source static udp 10.x.0.31 4500 interface VLAN 158 4500
ip nat inside source static tcp 10.x.0.31 443 interface VLAN 158 4433
ip nat inside source list web_nat_addr_pool pool web_nat_addr_pool overload
!
!
===========路由=============
router ospf 1
!
ip route 0.0.0.0 0.0.0.0 111.x.61.x
ip route 0.0.0.0 0.0.0.0 123.x.158.x
//10.x.7.0为VPN的保护地址,10.x.0.31为VPN的内网地址,必须这样指过去才能正常工作
ip route 10.x.7.0 255.255.255.0 10.x.0.31 permanent





回复

使用道具 举报

40

主题

434

帖子

1488

积分

金牌会员

Rank: 6Rank: 6

积分
1488
发表于 2016-2-21 22:42:38 | 显示全部楼层
接口上配置源进源出
回复 支持 反对

使用道具 举报

1

主题

59

帖子

185

积分

初级会员

Rank: 2

积分
185
发表于 2016-2-23 10:11:45 | 显示全部楼层
您好
   这个看下您设备的策略路由与静态路由是如何设置的 建议您把目前的配置发一份出来看下
回复 支持 反对

使用道具 举报

1

主题

5

帖子

23

积分

新手上路

Rank: 1

积分
23
 楼主| 发表于 2016-2-23 11:27:29 | 显示全部楼层
crazysteven 发表于 2016-2-21 22:42
接口上配置源进源出

我把主要配置贴上来了,兄台能详细指点下不?
回复 支持 反对

使用道具 举报

1

主题

5

帖子

23

积分

新手上路

Rank: 1

积分
23
 楼主| 发表于 2016-2-23 11:27:48 | 显示全部楼层
huangqi 发表于 2016-2-23 10:11
您好
   这个看下您设备的策略路由与静态路由是如何设置的 建议您把目前的配置发一份出来看下
...

已贴,你看下
回复 支持 反对

使用道具 举报

1

主题

59

帖子

185

积分

初级会员

Rank: 2

积分
185
发表于 2016-2-24 13:29:50 | 显示全部楼层

10.x.0.31并没有匹配策略路由,默认路由是两条等价
外网口下配置ip reverse-path  可以测试看下
回复 支持 反对

使用道具 举报

1

主题

5

帖子

23

积分

新手上路

Rank: 1

积分
23
 楼主| 发表于 2016-2-25 20:56:29 | 显示全部楼层
huangqi 发表于 2016-2-24 13:29
10.x.0.31并没有匹配策略路由,默认路由是两条等价
外网口下配置ip reverse-path  可以测试看下 ...

好了!非常感谢!
回复 支持 反对

使用道具 举报

1

主题

59

帖子

185

积分

初级会员

Rank: 2

积分
185
发表于 2016-2-26 11:32:15 | 显示全部楼层
pzy4447 发表于 2016-2-25 20:56
好了!非常感谢!

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则