track检测运行商链路

近期碰到工程师组网时，有如下需求，在组网的出口是我司的一台F1080防火墙，出口线路为一条移动100M和两条50M的联通链路。

工程师希望：

（1）内网用户在进行外网访问时，根据DNS解析出的目的地址所在的运营商类型，让出口流量走相应的运营商出口线路，非移动联通运营商归属的地址，选择配置一条默认的运营商线路走。

（2）对于DNS解析出的目的地址为联通的，需要由两条联通的出口线路出去流量，使用简单的轮询机制在两条联通出口线路间进行负载均衡选路即可。

为了实现工程师的需求，我们根据工程师现网已有资源和相关环境进行了规划和指导。

,为了实现工程师的需求，我们根据工程师现网已有资源和相关环境进行了组网规划，大致组网图如下：

组网说明：

1.内网终端使用网段为192.168.0.0/16

2.内网的网络出口为我司的F1080高性能防火墙，在该组网中使用该型号防火墙通过配置来实现组网中的负载均衡需求

3.防火墙连接移动线路的公网出口地址为100.0.0.1，该移动线路出口带宽为100M

4.防火墙连接联通线路的公网出口有两条，分别为与RT3相连的接口，地址为200.0.0.1，该线路出口带宽为50M

另一条与RT4连接的公网出口地址为200.1.0.1，该联通线路出口带宽也为50M。

5.根据内网访问公网时的DNS解析出的目的地址所属的运营商进行出口选路，目的地址归属移动的走移动出口，目的地址归属联通的在联通两个出口中进行轮询的方式选择一条线路出去（官网给出的出方向链路负载均衡配置指导为配置就近行探测后选择一条链路质量优的链路走，有工程师咨询配置该方式后出现另一条线路不走流量的情况，建议参考本案例修改）

6.当DNS解析后的目的地址非移动联通所属地址时，走默认出口为移动链路。

1.配置相应的安全域和域间策略，V7防火墙下默认所有的安全域之间都是没有放通的，这点配置时请注意，在出口（三层物理口或者三层Vlan虚接口）下注意配置nat outbound，此处不作为重点介绍，请自行配置。

2.负载均衡配置：

#   //配置NQA探测模板t1，用来探测链路质量
nqa template icmp t1
 reaction trigger per-probe        //将探测结果进行回送反馈
 quit
#
loadbalance link-group lg1        //创建链路组1
 predictor hash address source-ip-port    //配置链路组内链路调度算法为原地址hash方式
 transparent enable             
 probe t1
#
loadbalance link-group lg2         //创建链路组2
 predictor hash address source-ip-port    //配置链路组内链路调度算法为原地址hash方式
 transparent enable
 probe t1
#
loadbalance class lc1 type link-generic     //创建去往移动出口的负载均衡类lc1
 match 1 isp cmcc                  //匹配DNS解析的地址为所属移动
#              
loadbalance action la1 type link-generic    //创建负载均衡动作la1，类型为链路负载均衡类
 link-group lg1                  //流量走链路组lg1
 fallback-action continue
#
loadbalance class lc2 type link-generic        //创建去往联通出口的负载均衡类lc2
 match 1 isp cnc                    //匹配DNS解析的地址为所属联通
#
loadbalance action la2 type link-generic     //创建负载均衡动作la2，类型为链路负载均衡类
 link-group lg2                     //流量走链路组lg2
 fallback-action continue
#
loadbalance policy lp type link-generic   //创建负载均衡策略lp
 class lc1 action la1              //将类lc1和动作la1进行绑定
 class lc2 action la2              //将类lc2和动作la2进行绑定
#
virtual-server vs type link-ip     //创建链路负载型的虚服务      
 virtual ip address 0.0.0.0 0      //对所有的地址做虚服务的匹配操作
 lb-policy lp                   //执行链路负载均衡策略lp
 default link-group lg2         //对于未匹配上的流量走默认走链路组lg2
 service enable
#
 loadbalance isp file lbispinfo.tp      //导入运营商归属地址的文件，下载链接http://www.h3c.com/cn/Service/Software_Download/IP_Security/ISP_File/LB_ISP_File/从该链接中下载文件后进行解压上传至设备根目录中。
#
loadbalance link link1          //创建移动链路link1
 router ip 100.0.0.2         //移动下一跳地址
 link-group lg1             //将链路1加入链路组1
 probe t1
#
loadbalance link link2       //创建联通链路link2
 router ip 200.0.0.2       //联通链路1下一跳地址
 link-group lg2          //归属链路组lg2
 probe t1
#
loadbalance link link3         //创建联通链路link3
 router ip 200.1.0.2       //联通链路2下一跳地址
 link-group lg2             //归属链路组lg2
 probe lt
#

1.配置过程中注意注意在每条链路及链路组中添加probe的链路探测模板t1，用于检验链路质量并进行链路信息反馈

2.要实现基于运营商的链路负载均衡，一定要在配置之前先从华三官网链接http://www.h3c.com/cn/Service/Software_Download/IP_Security/ISP_File/LB_ISP_File/下下载相应的ISP地址文件然后在进行类的配置。

3.由以上配置过程大家可以看出：

（1）如果需要对流量做基于不同运营商DNS解析的地址进行选路，我们可以将不同运营商的出口链路分别加入不同的链路组，然后配置相应的负载均衡类对地址进行识别，然后再按照策略中的负载均衡动作进行相应运营商出口所在链路组的选取，如果策略中的类匹配成功则流量走该策略中动作指定的链路组内的出口链路。

（2）本案例中将两条联通线路加入了链路组2中，由于本案例中未对链路组2进行选路算法及规则的配置，则链路组2内使用默认的轮询算法进行两个联通出口链路的选路。若无基于DNS解析的选路需求，则直接可以将不同的运营商链路加入同一个链路组中，然后根据链路组内配置的相应算法进行选路。