分享贴：mer5200+双wan+vpn+策略路由

为什么使用:公司原使用ROS软路由，对于我这个半桶水的太难用了，不想研究！说实在这ROS功能上确实没得说。公司也没有专业网络技术管理，然后选择了H3C的mer5200，带机量官方说的是250台左右，完全满足我的需求.mer5200功能方面使用情况：基本上能实现官方所说的功能，但是，WEB界面不友好（只能实现些基本功能，复杂一点点就GG），只能console手动配。稍微有小小网络概念，这些问题Google一下还是可以解决，再或者请拨打H3C售后，这个很重要！！售后技术能帮你解决大部份问题，也让你少走弯路。进入正题，说说使用的环境和实现的功能：1。机器目前使用的版本Boot ROM版本：1.21硬件版本：1.0软件版本：7.1.064 Release 0809P272。组网环境（懒得画，直接打字说！！！）Internet==》mer5200==》cisco2960(4台)==》pc     怎么简单怎么来！还帮公司省下S系列的汇聚核心交换机。cisco2960:我们有4台，分别作为pc端的接入层。每台是一个vlan,一共划分了4个vlan。也刚好对接mer5200的4个LAN口（为什么会做成这样，下面会说）。mer5200:双WAN网关，DHCP服务端，VPN服务端，开了远程http/https服务设备2个WAN口，分别接了电信拨号500M+电信专线50M设备4个LAN口，各划分一个vlan!!!(因为WEB不支持一个物理端口划分多个子接口vlan,命令行就不知道了！！懒得研究了，能实现就算)上图！！！！切记开启“保存接口上一跳”用多WAN的情况上图LAN接口配置！！！接下来，说下使用过程中，我自已遇到的问题，并如何解决：1。设置双WAN口，怎么利用2条线的带宽，并在其中一条DOWN掉时，能使用另外一条。如上图，我使用的是双wan中的"带宽比例负载模式"。问过H3C技术售后，出数据包的逻辑是：策略路由==》静态路由==》双WAN策略。所以，我出外网的静态路由是，并带上外网接口设置。下图的设置2条0.0.0.0 优先级相等的路由，目的是能确保走双wan策略。探测地址那里设置后，当检测一条DOWN,能保证另外一条线路使用。2。DNS不能静态绑定！！！需要进入console模式，命令行设置(绑HOST)ip host ***.*** x.x.x.x3。策略路由设置问题WEB界面极其简陋！！就是功能不强大的意思了！！简要说明下，这个设置的意思!!vlan20:  下面的策略只对vlan20这个接口生效，意思是说，你在其它vlan网络上，不生效下面的设置。源IP地址段: 这个好理解，就是你的数据包发出去的终端IP。这里只能写一段IP，想写一个IP，可以写同一个，例如1.1.1.1-1.1.1.1目的IP地址段：与上同理。出接口和下一跳：下跳地接需写上如果是专线出口有固定IP。4。策略路由问题2当你像我上面设置了一些策略后，你可以到用户组那里看看。会自动创建srcgroup和dstgroup对应，这里我想说的是，有一个比较骚的操作（为什么这样说？因为，这里可以做一些WEB界面并不支持的设置，达到省事的效事）可能这里，大家没看明白。上图划重点，自已理解下这里是一条目标地址的组，通过“用户组”可以添加多个目标地址段！！这是策略路由界面做不到的,可以到这里实现!不用一条条加！！由于WEB界面不支持，会有显示问题！！但实际上，路由器已配置。5。设置VPN后不能通内外网,DNS解析不了？这个问题，可以ping网关一步步，排查一下。ping不通内网，有可能是终端有软件防火墙设置！！WEB界面配置VPN后，路由器的配置是生成一个虚拟子接口，如下图：WEB设置后，发现是没有分配DNS的，也没有网关！！只有默认的0.0.0.0!我设置完时，解析不到域名的！所以我又要console上去配置ppp ipc dns xx6。通过VPN连接，是走不到策略路由的！！因为WEB界面不支持配置上图的virturl-template1 子接口！！！所以我又要console上去配置ip policy-based-route pbrxxxx   这个pbrxxx是之前vlan20的所有路由策略，这条命令可以将vlan20策略引用了。这时我的网络环境实现了，双WAN按带宽比例出外网，不同VLAN子接口的用户端，有需求从固定IP出口的可以做策略路由。VPN客户端连接入来的，也可以走策略路由。内网也可以DNS静态绑定。至于带宽限制还没玩！！！现在看70人吧，正常使用。。希望此贴，对刚入手的有帮助。