从运营商过来5条pppoe进入防火墙如何配置防火墙实现上网负载均衡功能,设备型号为:f100-c-g5
(0)
最佳答案
参考典配:https://www.h3c.com/cn/d_202312/1984364_30005_0.htm#_Toc153291258
如图所示,用户分别租用移动运营商两条链路link-cmcc-1和link-cmcc-2以及联通运营商一条链路link-cnc,且在LB设备的出接口配置PPPoE client相关配置,从网络中的PPPoE服务器上动态获取IP地址,以实现基于pppoe选路的负载分担。内网用户在访问外网Server 时将目的地址匹配isp为移动cmcc或者联通cnc的流量分到对应链路组lg-cmcc和lg-cnc中相应的链路上。
图3-137 基于PPPoE选路组网图
为了实现基于PPPoE选路的负载分担,需要完成如下配置:
· LB链路支持自动获取IP地址后对链路的健康检测必须指定目的地址和出接口。
· LB设备配置拨号接口Dialer 0、Dialer 1和Dialer 2,并配置工作模式等,并将拨号Dialer口绑定到链路出接口。
· PPPoE server设备上需要配置用户,且服务类型为ppp,并为该用户配置密码。
· PPPoE server设备配置ip地址池和VT口,VT口里面的ppp认证方式为pap或chap,使用ip地址池里面的地址作为远端地址,出接口需要绑定VT口。
· 配置三条链路,其中移动链路link-cmcc-1和link-cmcc-2属于移动链路组lg-cmcc,联通链路link-cnc属于联通链路组lg-cnc。
· 配置流量特征,访问网站目的地址根据isp表项进行匹配,目的地址匹配移动isp表项的在移动两条链路上进行选路,匹配联通isp表项走联通链路,都匹配不上走联通链路。
在LB设备出口应用nat地址组,出方向报文进行源地址转换,保护内网IP地址。
本举例是在L1000-AK325的Alpha 1160P16版本上进行配置和验证的。
· PPPoE server设备上配置的用户的用户名和密码应和LB设备拨号接口Dailer下面配置的用户名和密码一致。
· 本例中PPPoE会话模式使用永久在线模式。
· 配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上开启共享DDR。每个PPPoE会话唯一对应一个Dialer bundle,而每个Dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。
· 导入最新ISP文件。
在导航栏中选择“负载均衡 > 全局配置 > ISP”,先单击<选择>按钮,选择ISP文件,然后单击<导入>按钮,导入ISP文件。
图3-138 导入ISP文件
单击<导入>,完成操作。
在导航栏中选择“负载均衡 > 全局配置 > 健康检测”,单击<新建>按钮,进行如下配置:
图3-139 新建ICMP类型的健康检测cmcc-1
单击<确定>,完成操作。
图3-140 新建ICMP类型的健康检测cmcc-2
单击<确定>,完成操作。
图3-141 新建ICMP类型的健康检测cnc
单击<确定>,完成操作。
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > 链路组”,单击<新建>按钮,新建链路组名称为lg-cmcc,调度算法为源IP地址哈希,如下图所示。
图3-142 新建链路组lg-cmcc
单击<确定>,完成操作。
创建链路组lg-cnc与lg-cmcc骤相同:
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > 链路组”,单击<新建>按钮,新建链路组名称为lg-cnc,调度算法为源IP地址哈希。
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > 链路组”,进入链路组页面。
编辑链路组lg-cmcc,单击<添加>,新建成员列表,新建链路cmcc,下一跳配置选择自动获取,出接口选择Dialer0,引用健康检测模板cmcc-1,如下图所示。
图3-143 添加链路组成员
图3-144 新建链路link-cmcc-1
点击<确定>,完成操作。
继续在成员列表单击<添加>,新建成员列表,新建链路link-cmcc-2,下一跳配置选择自动获取,出接口选择Dialer1,引用健康检测模板cmcc-2,如下图所示。
图3-145 新建链路link-cmcc-2
点击<确定>,完成操作。
图3-146 链路信息
单击<确定>,完成操作。
创建链路link-cnc与link-cmcc-1、link-cmcc-2步骤相同:
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > 链路组”,进入链路组页面。编辑链路组lg-cnc,单击<添加>,新建成员列表,新建链路link-cnc,下一跳配置选择自动获取,出接口选择Dialer2,引用健康检测模板cnc。
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为lc-cnc,匹配方式为匹配任意一条规则,新建匹配规则,Match ID为1,类型选择ISP,匹配内容为cnc,如下图所示。
图3-147 新建流量特征
单击<确定>,完成操作。
图3-148 流量特征信息
单击<确定>,完成操作。
创建流量特征lc-cmcc与lc-cnc步骤相同:
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为lc-cmcc,匹配方式为匹配任意一条规则,新建匹配规则,match ID为1,类型选择ISP,匹配内容为cmcc。
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > IPv4选路策略”,在全局配置中勾选“负载均衡服务”。
图3-149 开启负载均衡功能
单击<应用>,完成操作。
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮,
新建IPv4选路策略1,流量特征选择lc-cnc,转发动作选择负载均衡,主用链路组选择lg-cnc,选择链路失败的处理方式选择继续匹配下一条规则,如下图所示。
图3-150 新建IPv4选路策略1
单击<确定>,完成操作。
创建其他IPv4选路策略与上图步骤相同。
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮,新建IPv4选路策略2,流量特征选择lc-cmcc,转发动作选择负载均衡,主用链路组选择lg-cmcc,选择链路失败的处理方式选择继续匹配下一条规则。
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > IPv4选路策略”,配置缺省Default流量特征,转发动作选择负载均衡,主用链路组选择lg-cnc,使匹配不上流量特征的报文从链路组lg-cnc发出。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为1,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图3-151 新建地址组1
单击<确定>,完成操作。
图3-152 地址组1信息
单击<确定>,完成操作。
创建地址组2、地址组3与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为2,地址组名称为cmcc-2,单击<添加>按钮,新建地址组成员起始IP地址为120.90.0.101,结束IP地址为120.90.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为60.30.0.101,结束IP地址为60.30.0.200。
在导航栏中选择“网络 > NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择Dia0,转换后源地址选择NAT地址组1,如下图所示。
图3-153 在接口Dia0创建NAT出方向动态转换
单击<确定>,完成操作。
创建NAT动态转换策略2、NAT动态转换策略3与NAT动态转换策略1步骤相同:
在导航栏中选择“网络 > NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择Dia1,转换后源地址选择NAT地址组2。
在导航栏中选择“网络 > NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择Dia2,转换后源地址选择NAT地址组3,如下图所示。
移动链路组lg-cmcc有统计信息
移动链路link-cmcc-1和link-cmcc-2有统计信息
服务器端抓包,可以看到流量都分到移动的链路上:
联通链路组lg-cnc有统计信息
联通链路link-cnc有统计信息
服务器端抓包,可以看到流量都分到联通的链路上:
(1) PPPoE server1设备配置,接口IP及路由省略
#
ip pool cmcc-1 61.236.0.2 61.236.0.100
#
interface Virtual-Template1
ppp authentication-mode pap
remote address pool cmcc-1
ip address 61.236.0.1 255.254.0.0
#
interface GigabitEthernet0/2
port link-mode route
pppoe-server bind virtual-template 1
#
local-user cmcc-1 class network
password cipher $c$3$1ZIo7GlPtTv1UHwNMIzc8Dhg1GmFVaHcJA==
service-type ppp
authorization-attribute user-role network-operator
#
(2) PPPoE server2设备配置,接口IP及路由省略
#
ip pool cmcc-2 120.90.0.2 120.90.0.100
#
interface Virtual-Template2
ppp authentication-mode pap
remote address pool cmcc-2
ip address 120.90.0.1 255.254.0.0
#
interface GigabitEthernet0/3
port link-mode route
combo enable copper
pppoe-server bind virtual-template 2
#
local-user cmcc-2 class network
password cipher $c$3$Rm+edPrA3lE7DBWtbl8PApfG03zzD5D9Ow==
service-type ppp
authorization-attribute user-role network-operator
#
(3) PPPoE server3设备配置,接口IP及路由省略
#
ip pool cnc 60.30.0.2 60.30.0.100
#
interface Virtual-Template3
ppp authentication-mode pap
remote address pool cnc
ip address 60.30.0.1 255.255.0.0
#
interface GigabitEthernet1/0/4
port link-mode route
pppoe-server bind virtual-template 3
#
local-user cnc class network
password cipher $c$3$JxugKxQzmNdeU+VUnKYMXL+s8VjNhYi5FA==
service-type ppp
authorization-attribute user-role network-operator
#
(4) LB设备配置,接口IP及路由省略
#
dialer-group 1 rule ip permit
dialer-group 2 rule ip permit
dialer-group 3 rule ip permit
#
nat address-group 1 name cmcc-1
address 61.236.0.101 61.236.0.200
#
nat address-group 2 name cmcc-2
address 120.90.0.101 120.90.0.200
#
nat address-group 3 name cnc
address 60.30.0.101 60.30.0.200
#
#
nqa template icmp cmcc-1
destination ip 211.98.0.100
out interface Dialer0
#
nqa template icmp cmcc-2
destination ip 218.206.0.100
out interface Dialer1
#
nqa template icmp cnc
destination ip 113.58.0.100
out interface Dialer2
#
#
interface Reth1
ip address 192.168.1.1 255.255.255.0
member interface GigabitEthernet1/0/1 priority 255
member interface GigabitEthernet2/0/2 priority 100
#
interface Reth2
member interface GigabitEthernet1/0/3 priority 255
member interface GigabitEthernet2/0/6 priority 100
pppoe-client dial-bundle-number 0
#
interface Reth3
member interface GigabitEthernet1/0/4 priority 255
member interface GigabitEthernet2/0/7 priority 100
pppoe-client dial-bundle-number 1
#
interface Reth4
member interface GigabitEthernet1/0/5 priority 255
member interface GigabitEthernet2/0/8 priority 100
pppoe-client dial-bundle-number 2
#
interface Dialer0
mtu 1492
ppp chap password cipher $c$3$/rUoTVdCcUfL0DRYEQhOr/YbELbiNcnFJQ==
ppp chap user cmcc-1
ppp ipcp dns admit-any
ppp ipcp dns request
ppp pap local-user cmcc-1 password cipher $c$3$J8EDIZqQwH3eOS2LcW32Q5X0yRG/mlC25A==
dialer bundle enable
dialer-group 3
dialer timer idle 0
dialer timer autodial 5
ip address ppp-negotiate
tcp mss 1400
nat outbound address-group 1
#
interface Dialer1
mtu 1492
ppp chap password cipher $c$3$IoX2VokNU8+s+K0FIy/Ad0dhw8MRQrU0Bg==
ppp chap user cmcc-2
ppp ipcp dns admit-any
ppp ipcp dns request
ppp pap local-user cmcc-2 password cipher $c$3$xiNpK8gRYfScZYbI0uGomm8i+Q0og1q/bA==
dialer bundle enable
dialer-group 2
dialer timer idle 0
dialer timer autodial 5
ip address ppp-negotiate
tcp mss 1400
nat outbound address-group 2
#
interface Dialer2
mtu 1492
ppp chap password cipher $c$3$7/6RKGeYLyVZkwb+LC/NOOw24aPLnQE9vw==
ppp chap user cnc
ppp ipcp dns admit-any
ppp ipcp dns request
ppp pap local-user cnc password cipher $c$3$J5vSqazlXWRGeW1lkuCgg6JRaXOLHJKW2w==
dialer bundle enable
dialer-group 1
dialer timer idle 0
dialer timer autodial 5
ip address ppp-negotiate
tcp mss 1400
nat outbound address-group 3
#
loadbalance link-group lg-cmcc
predictor hash address source
transparent enable
success-criteria at-least 1
link link-cmcc-1
success-criteria at-least 1
link link-cmcc-2
success-criteria at-least 1
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
success-criteria at-least 1
link link-cnc
success-criteria at-least 1
#
loadbalance class lc-cmcc type link-generic
match 1 isp cmcc
#
loadbalance class lc-cnc type link-generic
match 1 isp cnc
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg-cnc
#
loadbalance action ob$action$#for#lc-cmcc type link-generic
link-group lg-cmcc
fallback-action continue
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class lc-cmcc action ob$action$#for#lc-cmcc
class lc-cnc action ob$action$#for#lc-cnc
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
bandwidth interface statistics enable
service enable
#
loadbalance isp file flash:/lbispinfo.tp
#
loadbalance link link-cmcc-1
router interface Dialer0
success-criteria at-least 1
probe cmcc-1
#
loadbalance link link-cmcc-2
router interface Dialer1
success-criteria at-least 1
probe cmcc-2
#
loadbalance link link-cnc
router interface Dialer2
success-criteria at-least 1
probe cnc
#
return
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论