【51CTO.com 獨(dú)家特稿】在51CTO論壇中看到一篇懸賞帖，帖子是講路由器雙線接入NAT后的數(shù)據(jù)分流問(wèn)題的。之所以編輯成本文，主要是由于目前大家都比較關(guān)注如何利用路由器進(jìn)行合理的數(shù)據(jù)分流。記者也查閱了一些資料，整理一些解決此類問(wèn)題的知識(shí)點(diǎn)，希望對(duì)51CTO.com廣大的網(wǎng)絡(luò)工程師有所貢獻(xiàn)。閑話少說(shuō)，請(qǐng)看原帖懸賞內(nèi)容： 

拓?fù)浜驮O(shè)備簡(jiǎn)單描述： 

思科2811路由器一臺(tái)，三個(gè)FE口，f0/0接ISP1，f0/1接ISP2(ADSL)，f1/0接內(nèi)網(wǎng)交換機(jī)

問(wèn)題呈現(xiàn)：

ISP1專線有公網(wǎng)IP，下載可以，但開(kāi)網(wǎng)頁(yè)不行，第一次聯(lián)站點(diǎn)要5秒，后面就對(duì)了；
ISP2是ADSL，開(kāi)網(wǎng)頁(yè)比ISP1快多了，下載速度不行。
帖主分析：估計(jì)ISP1開(kāi)網(wǎng)頁(yè)慢是因?yàn)镈NS解析慢的原因。

帖主為了優(yōu)化，想實(shí)現(xiàn)如下需求：

讓DNS解析只通過(guò)ISP2來(lái)走，PC在從ISP2得到正確外網(wǎng)域名IP地址后，再通過(guò)ISP1跑所有數(shù)據(jù)，在ISP2不能解析地址時(shí)，再自己解析。
ISP2在ISP1失效時(shí)，所有數(shù)據(jù)走自己。
帖主分析難點(diǎn)：這里的難點(diǎn)在于內(nèi)網(wǎng)通過(guò)ISP1或2訪問(wèn)外網(wǎng)時(shí)作了NAT復(fù)用，端口就有變化了，怎么去控制內(nèi)網(wǎng)的訪問(wèn)呢？

在解決這個(gè)問(wèn)題之前，我們先來(lái)了解一些知識(shí)點(diǎn)： 

NAT(Network Address Translation)的功能，就是指在一個(gè)網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過(guò)申請(qǐng)。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過(guò)內(nèi)部的IP地址進(jìn)行通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部internet網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有NAT功能的設(shè)備（比如：路由器）負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過(guò)申請(qǐng)的IP地址）進(jìn)行通信。

通常NAT用于兩種情況：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過(guò)NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet 隔離開(kāi)，則外部用戶根本不知道通過(guò)NAT設(shè)置的內(nèi)部IP地址，其次是一個(gè)企業(yè)申請(qǐng)的合法Internet IP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多?？梢酝ㄟ^(guò)NAT功能實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法IP與外部Internet 進(jìn)行通信。

而要達(dá)到這些目的，需要設(shè)置NAT功能的路由器至少要有一個(gè)內(nèi)部端口（Inside），一個(gè)外部端口（Outside）。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址。并且內(nèi)部端口可以為任意一個(gè)路由器端口。外部端口連接的是外部的網(wǎng)絡(luò)，如Internet 。外部端口可以為路由器上的任意端口。另外提醒一點(diǎn)，設(shè)置NAT功能的路由器的IOS應(yīng)支持NAT功能。有關(guān)NAT更多的介紹，請(qǐng)參閱《路由器NAT功能配置簡(jiǎn)介》一文。

現(xiàn)在我們來(lái)看看怎樣解決剛才提到的幾個(gè)問(wèn)題：

解決思路： 

ISP2的nat匹配DNS解析
ISP1的nat匹配其他
或者
ISP2跑http
其他的跑ISP1

配置實(shí)例：

通過(guò)這樣的配置，基本問(wèn)題已經(jīng)解決了！通過(guò)這個(gè)帖子，或許我們能夠清晰的看到，當(dāng)路由器作為雙線出口時(shí)，一個(gè)基本的流控思路就是將雙線做合理分工，再加上 NAT后的ACL列表來(lái)實(shí)現(xiàn)基于端口的數(shù)據(jù)分流。這里面的重點(diǎn)問(wèn)題，就像帖主所提到的，當(dāng)端口變化后，如何控制內(nèi)網(wǎng)主機(jī)訪問(wèn)。相信各種實(shí)際情況的不同，具體處理方式可能會(huì)略有不同，但總的來(lái)說(shuō)，道理一定是通的。在此，也感謝51CTO.com的兩位網(wǎng)友，他們的ID是：tibetit和 lgq2358132134。論壇原帖地址：http://bbs.51cto.com/thread-678368-1.html