双互联网出口实现.docx

双互联网出口实现　　为了提高局域网的上网质量，单位分别租用了电信和移动两路互联网出口，为了达到充分利用这两路互联网出口的目的，我们使用了一台三端口的硬件防火墙，从系统的软件升级到调试成功前后经历了一周左右的时间经过一段时间的实践验证，该系统运行稳定，确实达到了流量分担和互为备份的功能，下面是具体的实现过程1确定双互联网出口的实现方式当我们做完PIX520硬件防火墙的软硬件升级后，根据实际情况最终的互联网双出口的使用方案为：当用户访问电信的网站的时候走电信的出口，访问其他的网站均走移动的出口这样兼顾了效率和可行性2PIX520硬件防火墙的软硬件升级和组网拓扑图本次双互联网出口的实现关键设备为PIX520，有3个网络模块，即可以实现两进一出：升级了防火墙的软件版本至，相关信息如下：pixfirewall#:ethernet0::ethernet1::ethernet2:在这里要介绍一下PIX520防火墙的网络模块命名规则，第一块网卡名为e0，连接外网第二块网卡名为e1，连接内网以后新加的网络模块依次为e2、e3、e4等，可以视所连接的网络自行定义，本例中我们新增了一块连接电信网段的网络模块，命名为e2。

组网拓扑如图1所示：3具体配置步骤如图1所示，PIX520防火墙的e0口连移动，e2口连电信，下面是具体的步骤：为网络模块命名nameifethernet0outsidesecurity0nameifethernet1insidesecurity100nameifethernet2outside2security0定义了e0口为连移动的口，e2口为连电信的口，e1口为连内网的口定义网口的lP地址ipaddressoutside218.*.*.,*.*,连接移动的网卡的lP地址为218.*.*.105，连接电信的网卡的IP地址为222.*.*.93连接内网的网卡的IP地址为设置访问电信的网段走电信的口*.*.651通过静态路由来实现，电信的网段有多个，这些静态路由也要相应地写多条，本例中只列举了其中一条设置默认路由*.*.971这里要注意route后面跟的是e0网卡的名称设置指向内部网络的路由,,同理，内部局域网中有多个网段，我们就要在PIX520防火墙上针对内部网段写多条路由本例中我们列举了三条配置动态NAT①创建一个ACL，里面包含允许访问外部网络的网段access-listacl_insidedenyudpanyanyeatftp……access-listacl_nsidepermitioanyany这个名为acl_inside的ACL很重要，它描述了一些不允许访问的端口，然后放开了其他的限制。

②在内网端口上应用这个ACLaccess-groupacl_insidelninterfaceinside③分别在两个外网端口上应用这个ACLaccess-groupacl_insideininterfaceoutsideaccess-groupacl_insideininterfaceoutside2④执行动态我们在PIX520防火墙上采用PAT的NAT方式4双互联网出口的测试局域网用户可以通过tracert命令针对分别位于移动和电信运营商的网站进行测试确实实现了访问电信的网段走电信的出口，其余的均走移动的出口的设计思路，而且我们还通过MRTG软件对防火墙的各个端口进行了流量监控，连接电信和移动的端口均有一定的流量，同时证明我们双互联网出口的实现是成功的双互联网出口实现。