问
MSR3610双出口配置问题。
2025-06-12提问
- 0关注
- 0收藏,453浏览
问题描述:
一个MSR3610-X1。两条外线,想让2口上网走1号外线,3口上网,走2号外线。请问有配置案例参考吗?
- 2025-06-12提问
- 举报
-
(0)
最佳答案
网络拓扑假设:
- 外线1(ISP1):接口 GigabitEthernet0/0(假设为WAN口1,IP:100.1.1.2/24,网关100.1.1.1)
- 外线2(ISP2):接口 GigabitEthernet0/1(假设为WAN口2,IP:200.1.1.2/24,网关200.1.1.1)
- 内网口2(用户组1):接口 GigabitEthernet0/2(连接需要走ISP1的用户)
- 内网口3(用户组2):接口 GigabitEthernet0/3(连接需要走ISP2的用户)
配置步骤:
1. 配置接口IP地址和NAT(关键:NAT需分别对应两条线路)
# 配置外线接口IP interface GigabitEthernet0/0 ip address 100.1.1.2 255.255.255.0 nat outbound # 启用出方向NAT(自动关联默认路由) interface GigabitEthernet0/1 ip address 200.1.1.2 255.255.255.0 nat outbound # 启用出方向NAT(自动关联默认路由) # 配置内网接口(无需IP,作为二层接口使用) interface GigabitEthernet0/2 port link-mode bridge # 设置为桥接模式(若需三层则需配IP) interface GigabitEthernet0/3 port link-mode bridge2. 创建ACL匹配不同内网口的用户流量
# 定义ACL匹配从2口进入的流量(源接口为GE0/2) acl advanced 3000 rule 0 permit ip source interface GigabitEthernet0/2 # 定义ACL匹配从3口进入的流量(源接口为GE0/3) acl advanced 3001 rule 0 permit ip source interface GigabitEthernet0/33. 配置策略路由(PBR)
# 为ACL 3000的流量指定下一跳为ISP1网关 policy-based-route ISP1 permit node 10 if-match acl 3000 apply next-hop 100.1.1.1 # 为ACL 3001的流量指定下一跳为ISP2网关 policy-based-route ISP2 permit node 10 if-match acl 3001 apply next-hop 200.1.1.14. 在内网接口入方向应用策略路由
# 在2口入方向应用策略(匹配ACL3000走ISP1) interface GigabitEthernet0/2 ip policy-based-route ISP1 # 在3口入方向应用策略(匹配ACL3001走ISP2) interface GigabitEthernet0/3 ip policy-based-route ISP25. 配置默认路由(双出口需设置路由优先级)
# 设置两条默认路由,并调整优先级确保不做策略的流量有默认出口 ip route-static 0.0.0.0 0.0.0.0 100.1.1.1 preference 70 # ISP1线路默认路由(优先级70) ip route-static 0.0.0.0 0.0.0.0 200.1.1.1 preference 80 # ISP2线路默认路由(优先级80,备份)6. (可选) 配置回程路由
若内网用户有不同网段,需确保内网到用户的回程路由正确。
配置验证:
查看策略路由状态:
display policy-based-route [name ISP1]模拟流量测试:
- 在2口下的PC执行
tracert 8.8.8.8应经过 100.1.1.1 - 在3口下的PC执行
tracert 8.8.8.8应经过 200.1.1.1
- 在2口下的PC执行
注意事项:
- NAT配置: 由于两条线路分别做了
nat outbound,流量会自动匹配对应接口的NAT。 - 源接口限制: 此方案基于物理端口区分用户,若端口下接交换机有多个用户,无需额外配置。
- 故障切换: 如需自动切换,可配置NQA探测+Track联动(需更复杂路由配置)。
以上配置实现端口级别的分流,满足用户需求。若需要基于IP的分流,则需调整ACL匹配源IP地址。
以下是针对 H3C MSR3610-X1 路由器实现基于端口的策略路由(源端口绑定出口线路)的详细配置案例:
拓扑说明
- 内网接口:GE2(连接用户组1),GE3(连接用户组2)
- 外网接口:GE0(联通线路),GE1(电信线路)
- 目标:GE2口下的用户走联通线路,GE3口下的用户走电信线路
配置步骤
1. 创建ACL匹配不同端口的流量
bash
复制
acl advanced 3000
rule 0 permit ip ingress-interface GigabitEthernet2 # 匹配从GE2口进入的流量
acl advanced 3001
rule 0 permit ip ingress-interface GigabitEthernet3 # 匹配从GE3口进入的流量2. 配置策略路由(PBR)
bash
复制
# 创建策略路由1:强制GE2流量走联通线路
policy-based-route PBR_GE2 permit node 10
if-match acl 3000
apply next-hop 1.1.1.1 # 联通网关地址
# 创建策略路由2:强制GE3流量走电信线路
policy-based-route PBR_GE3 permit node 10
if-match acl 3001
apply next-hop 2.2.2.1 # 电信网关地址3. 在接口上应用策略路由
bash
复制
interface GigabitEthernet2
ip policy-based-route PBR_GE2 # 在入方向应用路由策略
interface GigabitEthernet3
ip policy-based-route PBR_GE34. 配置双默认路由(主备或负载均衡)
bash
复制
# 主路由:联通线路
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 preference 60
# 备份路由:电信线路
ip route-static 0.0.0.0 0.0.0.0 2.2.2.1 preference 705. 配置NAT地址转换(每条线路独立NAT)
bash
复制
# 联通线路NAT
acl basic 2000
rule 0 permit source ingress-interface GigabitEthernet2
interface GigabitEthernet0
nat outbound 2000
# 电信线路NAT
acl basic 2001
rule 0 permit source ingress-interface GigabitEthernet3
interface GigabitEthernet1
nat outbound 2001 配置验证命令
bash
复制
# 查看策略路由状态
display policy-based-route PBR_GE2
# 检查端口流量走向
display interface GigabitEthernet2 # GE2流量应仅走GE0口
display interface GigabitEthernet3 # GE3流量应仅走GE1口
# 测试路径(从指定源端口tracert)
tracert -a 192.168.1.100 www.baidu.com # 假设192.168.1.100是GE2下PC关键要点说明
ingress-interface指令
MSR路由器支持直接按入端口匹配流量(无需依赖IP网段),这是实现的核心。NAT与路由解耦
- 策略路由强制流量从指定出口发出
- 基于接口的NAT确保源地址转换正确
双默认路由作用
策略路由未匹配的流量(如管理口)默认走联通主线路,电信线路作为备份。扩展性
如需更精细控制(如按协议分流),可扩展ACL规则:bash复制acl advanced 3000 rule 0 permit ip ingress-interface GE2 destination-port eq 80 # GE2的HTTP走电信 rule 5 permit ip ingress-interface GE2 # 其他流量走联通
实际案例拓扑
复制
[MSR3610-X1]
|
+-------------+-------------+
| | |
[GE0:联通] [GE1:电信] [GE2] [GE3]
1.1.1.2/24 2.2.2.2/24 ├── 用户组1 ├── 用户组2
| | | (192.168.1.0/24) (192.168.2.0/24)
联通网关 电信网关
1.1.1.1 2.2.2.1- 2025-06-12回答
- 评论(0)
- 举报
-
(0)
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论