[经验分享] “玩爱快速路由器”（NAT +路由）的两线接入混合组网研究

就像前一段时间，许正在讨论Aikuai路由器同时连接到两条线路，

一个是运营商的宽带线路，另一个是企业内的专用网络租用线路，

不是通常的两条宽带线.

最麻烦的是，宽带线路需要通过NAT转发，而企业内的专用网络线路则是路由转发.

Aikuai路由器将根据数据包的目标IP自动确定应转发到哪条线路.

每个人都在谈论它几天，谈论它，似乎没有最终结果.

最近，我很忙，在家中设置了一个测试环境（真实机器测试，非虚拟环境）

测试了所有可能的解决方案.

我总共考虑了4套计划（如果您有不同的计划，请添加它们），将依次进行解释.

网络拓扑图，图1是计划1和2，图2是计划3，图3是计划4

项目I

网络拓扑如图1所示

端子配置

PC#1 IP 192.168.2.1/24网关192.168.2.254

PC#2 IP 192.168.1.1/24网关192.168.1.254

路由器接口配置

路由器#1（NAT模式）

WAN1 IP 10.0.1.2/24，网关10.0.1.1

WAN2 IP 192.168.0.2/24，网关192.168.0.254，检查默认网关

LAN IP 192.168.2.254/24

路由器2（路由模式）

WAN IP 10.0.1.1/24，网关10.0.1.2

LAN IP 192.168.1.254/24

转发规则部署

Router#1

Internet模式NAT

多行加载-自定义运算符-添加以下记录

企业名称企业专用网

目标地址192.168.1.0/24

多行负载添加转发规则

WAN1线

加载模式实时连接号

运营商企业专用网

负载比1

状态已启用

NAT转发，添加以下规则

动作过滤

WAN1线

源地址192.168.2.1-192.168.2.254

目标地址192.168.1.1-192.168.1.254

状态已启用

Router#2

Internet模式路由

实际测试

①PC#1 ping百度，通过（通过路由器#1 WAN2端口上级路由器转发）

②PC#1 ping路由器#2 WAN，通过

③PC#1 ping PC#2，通过

④PC#2 ping路由器#1 WAN1，通过

⑤PC#2 ping PC#1，无连接

仅在配置多线负载时，②和③均被锁定. 从理论上讲，多线路负载的优先级高于默认网关.

换句话说，至少②应该可以工作，但实际测试结果却行不通，我不知道它是否是错误的，

经过多方测试，发现在配置多线路负载之后，首先释放PC#1的IP，然后重新获取该IP，

或者先禁用然后再启用PC#1的本地连接，此时可以连接②③④，但仍不能连接

.

修改路由器1的转发规则

删除多行加载中的所有行规则

添加端口分配规则，如下所示

任何协议

WAN1线

源地址192.168.2.1-192.168.2.254

目标地址192.168.1.1-192.168.1.254

状态已启用

实际测试

①PC#1 ping百度，通过（通过路由器#1 WAN2端口上级路由器转发）

②PC#1 ping路由器#2 WAN，通过

③PC#1 ping PC#2，通过

④PC#2 ping路由器#1 WAN1，通过

⑤PC#2 ping PC#1，无连接

从测试结果可以看出，路由器#1正在NAT模式下工作，

端口并联和多线负载具有相同的作用.

对于上述两个转发规则，配置生效后，将分别捕获并测试它们.

当且仅当PC#1 ping PC#2时，才在PC#2上捕获数据包，

您可以看到源IP地址为192.168.2.1的ICMP消息，

这证明转发模式为路由，并且NAT过滤规则有效.

================================================ ===

项目II

网络拓扑图

我有相同的计划

端子配置

我有相同的计划

Router#1和Router#2接口配置参数

我有相同的计划

转发规则部署

Router#1

Internet模式路由

多行加载-自定义运算符-添加以下记录

企业名称企业专用网

目标地址192.168.1.0/24

多行负载添加转发规则

WAN1线

加载模式实时连接号

运营商企业专用网

负载比1

状态已启用

NAT转发，添加以下规则

动作转发

WAN2线

源地址192.168.2.1-192.168.2.254

目标地址留空

状态已启用

Router#2

Internet模式路由

实际测试

①PC#1 ping百度，通过（通过路由器#1 WAN2端口上级路由器转发）

②PC#1 ping路由器#2 WAN，通过

③PC#1 ping PC#2，通过

④PC#2 ping路由器#1 WAN1，通过

⑤PC#2 ping PC#1，无连接

与解决方案一相同的问题发生了，即配置多线负载后，必须重置PC#1的网卡.

否则，该行将被阻塞. 从测试结果来看，最终效果与选项I完全相同.

修改路由器1的转发规则

删除多行加载中的所有行规则

添加端口分配规则，如下所示

任何协议

WAN1线

源地址192.168.2.1-192.168.2.254

目标地址192.168.1.1-192.168.1.254

状态已启用

实际测试

①PC#1 ping百度，通过（通过路由器#1 WAN2端口上级路由器转发）

②PC#1 ping路由器#2 WAN，通过

③PC#1 ping PC#2，通过

④PC#2 ping路由器#1 WAN1，通过

⑤PC#2 ping PC#1，无连接

从测试结果可以看出，#1路由器在路由模式下工作，

端口并联和多线负载具有相同的作用.

对于上述两个转发规则，配置生效后，将分别捕获并测试它们.

当且仅当PC#1 ping PC#2时，才在PC#2上捕获数据包，

您可以看到源IP地址为192.168.2.1的ICMP消息，

这证明转发模式是路由.

但是，为什么上述两个计划PC#2 ping PC#1都不可用，并且具体原因有待进一步研究.

================================================ ===

计划III

网络拓扑如图2所示

端子配置

我有相同的计划

路由器接口配置

路由器#1（NAT模式）

WAN IP 192.168.0.2/24，网关192.168.0.254，检查默认网关

LAN1 IP 192.168.2.254/24，启用LAN相互访问

LAN2 IP 10.0.1.2/24，启用LAN相互访问

路由器2（路由模式）

我有相同的计划

转发规则部署

Router#1

Internet模式NAT

网络设置-静态路由，添加以下规则

LAN2线

目标地址192.168.1.0

子网掩码255.255.255.0

网关10.0.1.1

状态已启用

Router#2

Internet模式路由

实际测试

①PC#1 ping百度，通过（通过路由器#1 WAN端口上级路由器转发）

②PC#1 ping路由器#2 WAN，通过

③PC#1 ping PC#2，通过

④PC#2 ping路由器#1 LAN2，通过

⑤PC#2 ping PC#1，通过

数据包捕获测试

当且仅当PC#1 ping PC#2时，才在PC#2上捕获数据包，

您可以看到源IP地址为192.168.2.1的ICMP消息，

这证明转发模式是路由.

当且仅当PC#2 ping PC#1时，才在PC#1上捕获数据包，

您可以看到源IP地址为192.168.1.1的ICMP消息，

这证明转发模式是路由.

================================================ ===

计划IV

网络拓扑如图3所示

端子配置

我有相同的计划

路由器接口配置

路由器#1（NAT模式）

WAN IP 192.168.0.2/24，网关192.168.0.254，检查默认网关

LAN IP 192.168.2.254/24，扩展IP 10.0.1.2/24

路由器2（路由模式）

我有相同的计划

转发规则部署

Router#1

Internet模式NAT

网络设置-静态路由，添加以下规则

LAN1线

目标地址192.168.1.0

子网掩码255.255.255.0

网关10.0.1.1

状态已启用

Router#2

Internet模式路由

实际测试

①PC#1 ping百度，通过（通过路由器#1 WAN端口上级路由器转发）

②PC#1 ping路由器#2 WAN，通过

③PC#1 ping PC#2，通过

④PC#2 ping路由器#1 LAN2，通过

⑤PC#2 ping PC#1，通过

数据包捕获测试

当且仅当PC#1 ping PC#2时，才在PC#2上捕获数据包，

您可以看到源IP地址为192.168.2.1的ICMP消息，

这证明转发模式是路由.

当且仅当PC#2 ping PC#1时，才在PC#1上捕获数据包，

您可以看到源IP地址为192.168.1.1的ICMP消息，

这证明转发模式是路由.

摘要:

方案I和方案II都存在问题. 具体原因未知，因为我无权查看Aikuai的路由表，

因此，不可能从理论上分析错误的原因. LZ尝试了各种方法，但无法使PC#2 ping PC#1.

出于特定原因，请让官方技术人员找出原因，只有他们有权检查系统的路由表.

在测试中，我还发现，无论哪种转发方法，以及哪种Internet模式，当PC#2 ping PC#1时，

只需断开路由器WAN2端口的宽带连接（例如，断开网络电缆或取消绑定接口），便会立即完成ping操作

一旦恢复了与WAN2的连接，PC#2将无法立即ping PC#1. 一切都在路由表中，但是我看不到.

III和IV计划非常完美，PC#1和PC#2可以双向进行ping通，并且数据包通过路由转发，

但是事情总是不完美的. 在测试中，LZ发现PC#2可以通过路由器#1来访问Internet，

估计这是大多数情况下我不希望看到的结果. 幸运的是，Aikuai集成了防火墙并添加了ACL规则.

ACL规则如下

任何协议

动作块

方向转发

源地址留空

目标地址留空

入站接口LAN2（方案Ⅲ）或LAN1（方案Ⅳ）

出站接口WAN1

默认时间

默认时间段

已修复，现在PC#2只能ping PC#1，而百度不能ping通.

后记:

有一点经验的人可以一目了然地看出Scheme IV是在同一交换机上运行的两个网段的数据，

这也是一个傻瓜开关. 由于各种原因（例如数据安全性），在很多情况下都不允许这样做，

但是，如果路由器上没有空闲接口，则无法像解决方案III中那样添加第二个LAN端口，我该怎么办？

通往天空的道路是无穷无尽的-世界上有一种称为VLAN的网络技术，另一种称为VLAN交换机的网络设备，

Aikaai还支持VLAN技术，因此我不需要在下面胡说八道，您知道如何处理它.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-292035-1.html