• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

两条宽带合并成一条再接入

2天前提问
  • 0关注
  • 0收藏,88浏览
东方
东方 五段
粉丝:1人 关注:2人

问题描述:

单位新接入同一运营商两条宽带,总共1500M,IP在同一网段,其中电口500M分配的IP是20.2.2.227/25,光口1G分配的IP是20.2.2.242/25和20.2.2.243/25,网关均为20.2.2.129.  现在想通过单位一台旧IPS(H3C T1060)作中间设备,将前面两条宽带合并成一条,通过万兆线接入单位深信服设备出口。请教主要在中间设备IPS上做什么配置 mmexport1775785038869.png

组网及组网描述:

如上

4 个回答
按时间 按赞数
zhiliao_sEUyB
zhiliao_sEUyB 九段
粉丝:98人 关注:11人

合并不了


需要联系运营商那面做操作。

zhiliao_Gixe
zhiliao_Gixe 四段
粉丝:2人 关注:9人

 

刘浩存
刘浩存 七段
粉丝:9人 关注:1人

你的需求(同一运营商、同网段公网IP、 T1060 IPS作为中间设备叠加带宽)属于一个典型的“同网段多出口”场景。在这种架构下,无法通过常规的负载均衡实现完美的带宽叠加(例如一个下载任务跑满1500M),但可以有效提升多用户、多任务的并发总带宽,并实现链路冗余备份。

由于三条线路的网关均为 20.2.2.129,IPS无法基于网关区分流量,强制要求所有流量从同一条链路返回,因此必须采用 “源IP地址哈希” (Source IP Hash)的负载均衡策略,确保每个内网IP的流量固定从同一条链路进出。


一、 连接线路并配置接口

将三条宽带线路接入IPS的三个物理接口,分别配置IP地址(T1060设备最多支持2个万兆SFP+光口,注意接口类型):

线路运营商分配IP网关建议接口接口IP配置
电口500M20.2.2.227/2520.2.2.129GE0/120.2.2.227/25
光口1G20.2.2.242/2520.2.2.129GE0/220.2.2.242/25
光口1G20.2.2.243/2520.2.2.129GE0/320.2.2.243/25

配置命令示例(WEB界面操作或命令行) :

interface GigabitEthernet0/1
ip address 20.2.2.227 255.255.255.128
 quit
 interface GigabitEthernet0/2
 ip address 20.2.2.242 255.255.255.128
 quit
interface GigabitEthernet0/3
 ip address 20.2.2.243 255.255.255.128
 quit
二、 配置NAT地址转换(关键难点)

由于三条线路的IP地址属于同一个子网,必须为每个接口分别配置独立的源NAT,防止IPS错误地将流量从一个接口发出而使用另一个接口的IP地址,导致回包无法正确路由。

配置命令示例

# 接口GE0/1的源NAT
acl basic 2001
 rule 0 permit source 20.2.2.227 0.0.0.0
 quit
interface GigabitEthernet0/1
 nat outbound 2001
 quit
 # 接口GE0/2的源NAT
acl basic 2002
 rule 0 permit source 20.2.2.242 0.0.0.0
 quit
interface GigabitEthernet0/2
 nat outbound 2002
 quit
 # 接口GE0/3的源NAT
acl basic 2003
 rule 0 permit source 20.2.2.243 0.0.0.0
 quit
interface GigabitEthernet0/3
 nat outbound 2003
 quit
 注意:这种配置要求IPS必须能够正确匹配每个接口发出的流量源IP。如果配置后业务不通,建议在H3C技术工程师指导下使用 “出方向双向NAT” (Outbound Bidirectional NAT)功能进一步优化


三、 配置负载均衡策略

在IPS上创建负载均衡动作,设置权重比例为 0.5:1:1(500M : 1G : 1G)。

配置命令示例

loadbalance action lbaction1
type generic
 forward any
 link-group lg1 loadbalance link-group lg1
 link ge0_1 weight 0.5
 link ge0_2 weight 1
 link ge0_3 weight 1
(不同软件版本命令格式可能有差异,请参考H3C官网最新的配置指导


四、 配置策略路由(源IP哈希)

创建策略路由,根据内网用户的源IP地址哈希,将流量固定分配到三条链路中的某一条。

配置命令示例

# 创建IPv4 ACL,匹配需要负载均衡的流量
acl advanced 3000
 rule 0 permit ip source 192.168.0.0 0.0.255.255
 # 创建策略路由
policy-based-route pbr1 permit node 10
 if-match acl 3000
 apply loadbalance lbaction1
 # 应用到内网侧入接口
interface GigabitEthernet0/4 (连接深信服设备的接口)
 ip policy-based-route pbr1
五、 开启会话同步功能

在多出口场景下,开启会话同步确保回程流量能够正确识别出口链路。

配置命令示例

session synchronization enable
ip last-hop hold

六、 配置深信服设备接收聚合流量

在深信服设备的入接口配置IP地址(例如 10.10.10.2/24),并添加去往三条宽带线路所在的 20.2.2.0/25 网段的回程静态路由,下一跳指向IPS设备LAN口IP。

深信服配置示例

ip route 20.2.2.0 255.255.255.128 10.10.10.1

 配置验证命令
# 检查接口状态和IP地址
display ip interface brief
 # 检查NAT配置
display nat outbound
 # 检查负载均衡状态
display loadbalance link-group lg1
 # 检查策略路由
display ip policy-based-route
 # 检查会话表
display session table ipv4


zhiliao_GeOM0O
zhiliao_GeOM0O 六段
粉丝:7人 关注:2人

一、先明确核心需求与方案选型

你要实现的是两条同运营商、同网段宽带(500M 电口 + 1G 光口)在 H3C T1060 IPS 上做带宽聚合,合并为一条万兆链路输出到深信服 AF,核心是解决「多 WAN 接入 + 带宽叠加 + 统一出口」,同时满足 IP 同网段、网关一致的要求。

二、核心配置思路(T1060 IPS 上的关键配置)

1. 基础接口与 IP 配置(两条 WAN 口)

(1)电口 WAN1(500M,GE_0/2)

system-view
interface GigabitEthernet 0/2 port link-mode route # 三层路由口(IPS默认三层,若为二层需改) ip address 20.2.2.227 255.255.255.128 # /25掩码 gateway 20.2.2.129 # 运营商网关 quit

(2)光口 WAN2(1G,GE_0/4,若为万兆口则对应 XGE_0/x)

system-view
interface GigabitEthernet 0/4 port link-mode route ip address 20.2.2.242 255.255.255.128 # 主IP,/25掩码 ip address 20.2.2.243 255.255.255.128 sub # 从IP(若运营商分配两个IP) gateway 20.2.2.129 quit
关键:两条 WAN 口同属20.2.2.128/25网段,网关一致,T1060 支持多 WAN 同网段接入(需关闭 ARP 严格检查)。

2. 多 WAN 接入 + 带宽叠加(核心:ECMP 等价路由 + 策略路由)

(1)开启 ECMP(等价路由,实现带宽自动负载分担)

system-view
ip load-sharing mode ecmp # 开启等价路由,两条WAN口路由权重一致 ip route-static 0.0.0.0 0.0.0.0 20.2.2.129 # 两条默认路由,T1060自动做ECMP负载
效果:内网流量按 5:10 比例(500M:1G)自动分配到两条 WAN 口,实现总带宽 1500M 叠加。

(2)同网段多 WAN 优化(避免 ARP 冲突)

system-view
arp anti-attack check user-bind disable # 临时关闭ARP绑定检查(同网段多WAN) ip local-proxy-arp enable # 开启本地代理ARP,解决同网段多接口ARP问题

3. 出口万兆链路配置(GE_0/3,若为万兆口则 XGE_0/3)

(1)配置三层出口(对接深信服 AF 的 GE_0/3)

system-view
interface GigabitEthernet 0/3 # 万兆口对应XGE 0/3 port link-mode route ip address 192.168.1.1 255.255.255.252 # 与深信服AF互联,30位掩码,仅2个可用IP quit # 配置到深信服的静态路由(深信服AF互联IP为192.168.1.2) ip route-static 192.168.1.2 255.255.255.255 GigabitEthernet 0/3

(2)配置 NAT(关键:内网流量通过两条 WAN 口做源 NAT,实现上网)

system-view
# 1. 定义内网地址段(单位核心交换过来的网段,如10.0.0.0/8) acl number 2000 rule permit source 10.0.0.0 0.255.255.255 quit # 2. 配置NAT策略,两条WAN口分别做PAT # WAN1(GE_0/2)NAT interface GigabitEthernet 0/2 nat outbound 2000 quit # WAN2(GE_0/4)NAT interface GigabitEthernet 0/4 nat outbound 2000 quit
效果:内网流量经 T1060 后,自动通过两条 WAN 口做 NAT 上网,带宽叠加。

4. 深信服 AF 侧配合配置(必须同步)

  1. 互联口配置:GE_0/3 配置 IP192.168.1.2/30,默认路由指向 T1060192.168.1.1
  2. 回程路由:配置到单位内网的静态路由,下一跳指向 T1060192.168.1.1
  3. 关闭 WAN 口多线限制:AF 上仅保留一条默认路由(指向 T1060),无需多 WAN 配置

5. 可选优化:策略路由(指定流量走特定 WAN 口)

若需部分流量走 1G 光口(如大文件下载)、部分走 500M 电口(如办公),可配置策略路由:
system-view
# 定义下载流量ACL acl number 3000 rule permit ip source 10.0.0.0 0.255.255.255 destination-port eq 8080 quit # 配置策略路由,下载流量走WAN2(GE_0/4) policy-based-route download permit node 10 if-match acl 3000 apply next-hop 20.2.2.129 interface GigabitEthernet 0/4 quit # 应用到内网入口(GE_0/3,接收核心交换流量) interface GigabitEthernet 0/3 ip policy-based-route download quit

三、关键注意事项(避坑)

  1. 同网段多 WAN 问题:T1060 需开启ip local-proxy-arp,否则 ARP 冲突导致单 WAN 口不通
  2. 带宽叠加验证:用display ip routing-table查看两条默认路由是否 ECMP 生效,display interface查看两条 WAN 口流量是否负载
  3. IPS 功能适配:T1060 作为 IPS,需开启入侵防御、病毒过滤等功能,同时确保 NAT / 路由不影响 IPS 检测
  4. 万兆链路兼容性:若 T1060 GE_0/3 为千兆口,需更换万兆模块 / 万兆口,否则成为带宽瓶颈
  5. 运营商限制:同运营商同网段多 IP 需确认运营商未做源 IP 校验,否则 NAT 后流量被拦截

四、一键验证命令(T1060 上执行)

plaintext
# 查看接口IP配置 display ip interface brief # 查看ECMP路由 display ip routing-table 0.0.0.0 # 查看NAT会话 display nat session # 查看带宽负载 display interface GigabitEthernet 0/2 display interface GigabitEthernet 0/4

五、方案总结

表格
配置模块核心作用
多 WAN 口 IP 配置接入两条同网段宽带
ECMP 等价路由实现带宽自动负载叠加(总 1500M)
源 NAT 配置内网流量通过两条 WAN 口上网
万兆出口配置对接深信服 AF,统一出口
同网段 ARP 优化避免多 WAN 口 ARP 冲突

感觉是最可行的方案,不过1060好像接口下没有nat outbound 命令

东方 发表时间:17小时前 更多>>

感觉是最可行的方案,不过1060好像接口下没有nat outbound 命令

东方 发表时间:17小时前

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明