MSR路由器双WAN口上网,WAN口1(G5/0)采用静态地址,地址为35.1.1.3(网关35.1.1.5),WAN口2(G0/2)采用PPPoE拨号上网,拨号口为Dialer 1。内网有两个网段,网段为13.1.1.0/24,网段2为 23.1.1.0/24,网关都设置在MSR路由器上。需要实现13.1.1.0/24网段通过pppoe拨号上网,23.1.1.0/24网段通过固定地址接口WAN1上网。
一、策略路由分流
Ø 步骤1、内网通,配置内网网关
Ø 步骤2、R4、R5、R6建立ospf,实现公网通,包含r4、r5 g0/0口
Ø 步骤3、配置固定ip上网方式
R3:
#
ip route-static 0.0.0.0 0 35.1.1.5
#
interface GigabitEthernet5/0
ip address 35.1.1.3 255.255.255.0
nat outbound
#
Ø 步骤4、配置pppoe上网方式
pppoe server—R4
#
local-user qqq class network
password simple 123@h3c.com
service-type ppp
#
ip pool 1 34.1.1.10 34.1.1.20
#
interface Virtual-Template1
ppp authentication-mode chap
ppp chap user qqq
remote address pool 1
ip address 34.1.1.4 255.255.255.0
#
interface GigabitEthernet0/0
pppoe-server bind virtual-template 1
#
pppoe client—R3
#
dialer-group 1 rule ip permit
#
interface Dialer1
ppp chap password simple 123@h3c.com
ppp chap user qqq
dialer bundle enable
dialer-group 1
dialer timer idle 0
ip address ppp-negotiate
nat outbound
#
interface GigabitEthernet0/2
pppoe-client dial-bundle-number 1
#
ip route-static 0.0.0.0 0 Dialer1 preference 80
Ø 步骤5、配置策略路由实现分流上网
R3
由以上配置的两条默认路由可知,PPPoe拨号线路的默认路由优先级为80(默认路由优先级为60,值越大优先级越低),这样内网流量会全部从固定地址接口G5/0出去。
# 定义访问控制列表3000,用来匹配内网源地址为13.1.1.0 /24网段的数据流。
acl advanced 3000
rule 0 permit ip source 13.1.1.0 0.0.0.255
# 定义访问控制列表3001,用来匹配内网13.1.1.0 /24网段去访问内网23.1.1.0/24网段的数据流。
acl advanced 3001
rule 0 permit ip source 13.1.1.0 0.0.0.255 destination 23.1.1.0 0.0.0.255
# 创建策略路由,名称为aaa,节点为10,匹配acl 3001的数据流,不设置apply动作(如果不设置动作,则匹配到的数据转发时根据路由表来进行转,且不再匹配下一节点,配置这个节点的作用是实现内网不同网段之间互访的流量不匹配策略路由,达到可以互访的目的。备注:默认情况下,网关在路由器上的不同网段是可以互相访问的)。
[H3C]policy-based-route aaa permit node 10
[H3C-pbr-aaa-10]if-match acl 3001
# 创建策略路由aaa的节点20,匹配acl 3000的数据流,设置apply动作,指定数据的出口为PPPoE拨号口Dialer 1(如果出口是固定地址的,则配置命令为:apply next-hop x.x.x.x)。
[H3C]policy-based-route aaa permit node 20
[H3C-pbr-aaa-20]if-match acl 3000
[H3C-pbr-aaa-20]apply output-interface Dialer 1
# 在内网网关上应用策略路由。
interface GigabitEthernet0/0
ip policy-based-route aaa
# 配置完成后,可以实现13网段访问公网的流量从PPPoe拨号出口上网,23网段访问公网的流量从固定地址的出口上网。
Ø 步骤6、验证:
12网段:
[H3C]tracert -a 13.1.1.1 6.6.6.6
1 13.1.1.3 (13.1.1.3) 0.460 ms 0.257 ms 0.292 ms
2 34.1.1.4 (34.1.1.4) 0.773 ms 1.608 ms 0.854 ms
3 46.1.1.6 (46.1.1.6) 1.406 ms 1.175 ms 1.101 ms
23网段:
[H3C]tracert -a 23.1.1.2 6.6.6.6
1 23.1.1.3 (23.1.1.3) 0.435 ms 0.499 ms 0.517 ms
2 35.1.1.5 (35.1.1.5) 0.645 ms 0.739 ms 0.805 ms
3 56.1.1.6 (56.1.1.6) 1.119 ms 0.991 ms 0.847 ms
二、静态路由、Track与NQA联动
在如上基础上配置
1、内网不分流,单纯实现正常时走固定口,故障时切换拨号口
R3修改配置
#
interface GigabitEthernet0/0
undo ip policy-based-route
#
#创建管理员名为admin、操作标签为test的NQA测试组
[H3C]nqa entry admin test
#配置测试类型为ICMP-echo,ICMP-echo测试利用ICMP协议,根据是否接收到应答报文判断目的端设备的可达性。ICMP-echo测试的功能与ping命令类似,但ICMP-echo测试中可以指定测试的下一跳设备。在源端和目的端设备之间存在多条路径时,通过配置下一跳设备可以指定测试的路径
[H3C-nqa-admin-test-icmp-echo] type icmp-echo
#配置测试的目的地址为35.1.1.5,也就是G5/0接口的网关,即监测设备到网关的连通性。这里也可以配置监测公网的任意地址如114.114.114.114等,这样就可以规避掉运营商本身出现网络故障的风险
[H3C-nqa-admin-test-icmp-echo] destination ip 35.1.1.5
#配置测试组连续两次测试的时间间隔为3000ms
[H3C-nqa-admin-test-icmp-echo] frequency 3000
#配置探测报文的下一跳IP地址,这个一般在探测的目的地址不是网关地址的时候建议配置,本案例探测的目的地址是直连网关地址,可以不配置下一跳地址
[H3C-nqa-admin-test-icmp-echo] next-hop 35.1.1.5
#配置联动项1(连续失败3次触发联动)
[H3C-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
#启动探测
[H3C] nqa schedule admin test start-time now lifetime forever
#配置Track项1,关联NQA测试组(管理员为admin,操作标签为test)的联动项1
[H3C] track 1 nqa entry admin test reaction 1
#配置默认路由:下一跳地址为35.1.1.5,优先级为缺省值60,该路由与Track项1关联,作为主用路由
[H3C] ip route-static 0.0.0.0 0.0.0.0 35.1.1.5 track 1
仅考虑当前组网,由于ospf,中间二层故障时,R3与35.1.1.5仍可通,在R5上配置黑洞路由,实现故障时不可达,从而实现track nqa检测。(普通的业务应该是访问某个网页,不通运营商dns服务器不同,去往的目的网段不通,故障时nqa检测就会不可达。)
R5:
ip route-static 34.1.1.0 24 NULL0 preference 1
[H3C]dis ip routing-table 34.1.1.0
Summary count : 1
Destination/Mask Proto Pre Cost NextHop Interface
34.1.1.0/24 Static 1 0 0.0.0.0 NULL0
验证:
正常情况下,路由表里仅有从G5/0接口出去的默认路由生效
[H3C]dis ip routing-table 6.6.6.6
Summary count : 1
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 35.1.1.5 GE5/0
Track项状态为Positive
[H3C]dis track 1
Track ID: 1
State: Positive
Duration: 0 days 0 hours 0 minutes 7 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: admin test
Reaction: 1
Remote IP/URL: 35.1.1.5
Local IP: --
Interface: --
当G5/0接口的运营商网关出现不可达情况,但是G5/0接口依然处于UP时,Track项状态变为Negative
[H3C] display track 1
Track ID: 1
State: Negative
Duration: 0 days 0 hours 1 minutes 25 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: admin test
Reaction: 1
Remote IP/URL: 35.1.1.5
Local IP: --
Interface: --
路由表里从G5/0接口出去的默认路由失效,从拨号口出去的默认路由生效。
[H3C]dis ip routing-table 0.0.0.0
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 80 0 0.0.0.0 Dia1
若仍在实验1基础上主备链路
还原配置:
R3:
#
interface GigabitEthernet0/0
ip policy-based-route aaa
#
现象:
正常情况下,12网段走pppoe出口,23网段走固定出口,与只配置策略路由现象一致
[H3C]tracert -a 13.1.1.1 6.6.6.6
1 13.1.1.3 (13.1.1.3) 0.460 ms 0.257 ms 0.292 ms
2 34.1.1.4 (34.1.1.4) 0.773 ms 1.608 ms 0.854 ms
3 46.1.1.6 (46.1.1.6) 1.406 ms 1.175 ms 1.101 ms
[H3C]tracert -a 23.1.1.2 6.6.6.6
1 23.1.1.3 (23.1.1.3) 0.435 ms 0.499 ms 0.517 ms
2 35.1.1.5 (35.1.1.5) 0.645 ms 0.739 ms 0.805 ms
3 56.1.1.6 (56.1.1.6) 1.119 ms 0.991 ms 0.847 ms
链路故障时,所有内网均走pppoe出口
[H3C]tracert -a 13.1.1.1 6.6.6.6
1 13.1.1.3 (13.1.1.3) 0.460 ms 0.257 ms 0.292 ms
2 34.1.1.4 (34.1.1.4) 0.773 ms 1.608 ms 0.854 ms
3 46.1.1.6 (46.1.1.6) 1.406 ms 1.175 ms 1.101 ms
[H3C]tracert -a 23.1.1.2 6.6.6.6
1 23.1.1.3 (23.1.1.3) 0.572 ms 0.283 ms 0.329 ms
2 34.1.1.4 (34.1.1.4) 1.205 ms 0.808 ms 0.639 ms
3 46.1.1.6 (46.1.1.6) 1.799 ms 0.898 ms 0.454 ms
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作