基础网络升级(四)

其实到基础网络升级(三)应该就结束了,不过在使用过程中发现内网的路由之前规划的不是很好,老机房(192.168.10.0/24)的都是从一台 NAT 上出去,当时为了省事,把新机房(192.168.20.0/24, 192.168.30.0/24)的所有流量通过路由到了老机房,然后再从那台 NAT 出去。这样造成结果就是流量比较『混乱』,一个出口也同时存在 SPOF 的问题。比较好的方式还是老的不变,新的从新机房的 NAT 上出去,这样至少有两个出口,一个挂了还有挽救的措施 ;-)
要修改的地方不是很多,老机房的 NAT(192.168.10.254)、三层设备的路由不需要变。NAT 通过 MASQUERADE 的方式出去:
# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        
MASQUERADE  all  —  0.0.0.0/0            0.0.0.0/0          

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

# cat /etc/iptables
-A POSTROUTING  -o eth0 -j MASQUERADE

老三层设备的静态路由信息,默认路由是指向 NAT 的 IP:
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.254
ip route 192.168.20.0 255.255.255.0 192.168.1.2
ip route 192.168.30.0 255.255.255.0 192.168.1.2
no ip http server
ip http secure-server
!

新 NAT 机器(192.168.20.254):
# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        
MASQUERADE  all  —  0.0.0.0/0            0.0.0.0/0          

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

# cat /etc/iptables
-A POSTROUTING -o em2 -j MASQUERADE

新三层设备,默认的路由指向新 NAT 设备:
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.254
ip route 192.168.10.0 255.255.255.0 192.168.1.1
no ip http server
ip http secure-server
!

以上只是简化的模型,实际的比这个复杂些,不过思想不变。