• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR3610双出口配置问题。

2025-06-12提问
  • 0关注
  • 0收藏,681浏览
zhiliao_nOHElM
zhiliao_nOHElM 零段
粉丝:0人 关注:0人

问题描述:

一个MSR3610-X1。两条外线,想让2口上网走1号外线,3口上网,走2号外线。请问有配置案例参考吗?

最佳答案

有飞不起的鸟
有飞不起的鸟 七段
粉丝:13人 关注:0人

网络拓扑假设:

  • 外线1(ISP1):接口 GigabitEthernet0/0(假设为WAN口1,IP:100.1.1.2/24,网关100.1.1.1)
  • 外线2(ISP2):接口 GigabitEthernet0/1(假设为WAN口2,IP:200.1.1.2/24,网关200.1.1.1)
  • 内网口2(用户组1):接口 GigabitEthernet0/2(连接需要走ISP1的用户)
  • 内网口3(用户组2):接口 GigabitEthernet0/3(连接需要走ISP2的用户)

配置步骤:

1. 配置接口IP地址和NAT(关键:NAT需分别对应两条线路)

# 配置外线接口IP interface GigabitEthernet0/0 ip address 100.1.1.2 255.255.255.0 nat outbound # 启用出方向NAT(自动关联默认路由) interface GigabitEthernet0/1 ip address 200.1.1.2 255.255.255.0 nat outbound # 启用出方向NAT(自动关联默认路由) # 配置内网接口(无需IP,作为二层接口使用) interface GigabitEthernet0/2 port link-mode bridge # 设置为桥接模式(若需三层则需配IP) interface GigabitEthernet0/3 port link-mode bridge

2. 创建ACL匹配不同内网口的用户流量

# 定义ACL匹配从2口进入的流量(源接口为GE0/2) acl advanced 3000 rule 0 permit ip source interface GigabitEthernet0/2 # 定义ACL匹配从3口进入的流量(源接口为GE0/3) acl advanced 3001 rule 0 permit ip source interface GigabitEthernet0/3

3. 配置策略路由(PBR)

# 为ACL 3000的流量指定下一跳为ISP1网关 policy-based-route ISP1 permit node 10 if-match acl 3000 apply next-hop 100.1.1.1 # 为ACL 3001的流量指定下一跳为ISP2网关 policy-based-route ISP2 permit node 10 if-match acl 3001 apply next-hop 200.1.1.1

4. 在内网接口入方向应用策略路由

# 在2口入方向应用策略(匹配ACL3000走ISP1) interface GigabitEthernet0/2 ip policy-based-route ISP1 # 在3口入方向应用策略(匹配ACL3001走ISP2) interface GigabitEthernet0/3 ip policy-based-route ISP2

5. 配置默认路由(双出口需设置路由优先级)

# 设置两条默认路由,并调整优先级确保不做策略的流量有默认出口 ip route-static 0.0.0.0 0.0.0.0 100.1.1.1 preference 70 # ISP1线路默认路由(优先级70) ip route-static 0.0.0.0 0.0.0.0 200.1.1.1 preference 80 # ISP2线路默认路由(优先级80,备份)

6. (可选) 配置回程路由

若内网用户有不同网段,需确保内网到用户的回程路由正确。

配置验证:

  1. ​查看策略路由状态:​

    display policy-based-route [name ISP1]

  2. ​模拟流量测试:​

    • 在2口下的PC执行 tracert 8.8.8.8 应经过 100.1.1.1
    • 在3口下的PC执行 tracert 8.8.8.8 应经过 200.1.1.1

注意事项:

  1. ​NAT配置:​​ 由于两条线路分别做了 nat outbound,流量会自动匹配对应接口的NAT。
  2. ​源接口限制:​​ 此方案基于物理端口区分用户,若端口下接交换机有多个用户,无需额外配置。
  3. ​故障切换:​​ 如需自动切换,可配置NQA探测+Track联动(需更复杂路由配置)。

以上配置实现端口级别的分流,满足用户需求。若需要基于IP的分流,则需调整ACL匹配源IP地址。

以下是针对 H3C MSR3610-X1 路由器实现​​基于端口的策略路由​​(源端口绑定出口线路)的详细配置案例:

​拓扑说明​

  • ​内网接口​​:GE2(连接用户组1),GE3(连接用户组2)
  • ​外网接口​​:GE0(联通线路),GE1(电信线路)
  • ​目标​​:GE2口下的用户走联通线路,GE3口下的用户走电信线路

​配置步骤​

​1. 创建ACL匹配不同端口的流量​

bash
复制
acl advanced 3000 rule 0 permit ip ingress-interface GigabitEthernet2 # 匹配从GE2口进入的流量 acl advanced 3001 rule 0 permit ip ingress-interface GigabitEthernet3 # 匹配从GE3口进入的流量

​2. 配置策略路由(PBR)​

bash
复制
# 创建策略路由1:强制GE2流量走联通线路 policy-based-route PBR_GE2 permit node 10 if-match acl 3000 apply next-hop 1.1.1.1 # 联通网关地址 # 创建策略路由2:强制GE3流量走电信线路 policy-based-route PBR_GE3 permit node 10 if-match acl 3001 apply next-hop 2.2.2.1 # 电信网关地址

​3. 在接口上应用策略路由​

bash
复制
interface GigabitEthernet2 ip policy-based-route PBR_GE2 # 在入方向应用路由策略 interface GigabitEthernet3 ip policy-based-route PBR_GE3

​4. 配置双默认路由(主备或负载均衡)​

bash
复制
# 主路由:联通线路 ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 preference 60 # 备份路由:电信线路 ip route-static 0.0.0.0 0.0.0.0 2.2.2.1 preference 70

​5. 配置NAT地址转换(每条线路独立NAT)​

bash
复制
# 联通线路NAT acl basic 2000 rule 0 permit source ingress-interface GigabitEthernet2 interface GigabitEthernet0 nat outbound 2000 # 电信线路NAT acl basic 2001 rule 0 permit source ingress-interface GigabitEthernet3 interface GigabitEthernet1 nat outbound 2001

​配置验证命令​

bash
复制
# 查看策略路由状态 display policy-based-route PBR_GE2 # 检查端口流量走向 display interface GigabitEthernet2 # GE2流量应仅走GE0口 display interface GigabitEthernet3 # GE3流量应仅走GE1口 # 测试路径(从指定源端口tracert) tracert -a 192.168.1.100 www.baidu.com # 假设192.168.1.100是GE2下PC

​关键要点说明​

  1. ​ingress-interface指令​
    MSR路由器支持直接按入端口匹配流量(无需依赖IP网段),这是实现的核心。

  2. ​NAT与路由解耦​

    • 策略路由强制流量从指定出口发出
    • 基于接口的NAT确保源地址转换正确

  3. ​双默认路由作用​
    策略路由未匹配的流量(如管理口)默认走联通主线路,电信线路作为备份。

  4. ​扩展性​
    如需更精细控制(如按协议分流),可扩展ACL规则:

    bash
    复制
    acl advanced 3000 rule 0 permit ip ingress-interface GE2 destination-port eq 80 # GE2的HTTP走电信 rule 5 permit ip ingress-interface GE2 # 其他流量走联通

​实际案例拓扑​

复制
[MSR3610-X1] | +-------------+-------------+ | | | [GE0:联通] [GE1:电信] [GE2] [GE3] 1.1.1.2/24 2.2.2.2/24 ├── 用户组1 ├── 用户组2 | | | (192.168.1.0/24) (192.168.2.0/24) 联通网关 电信网关 1.1.1.1 2.2.2.1

暂无评论

1 个回答
按时间 按赞数
zhiliao_eE5Ptd
zhiliao_eE5Ptd 四段
粉丝:5人 关注:1人

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2025新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明