SecPath F100-E-G 加一条pppoe的带宽的配置命令
- 0关注
- 1收藏,1736浏览
问题描述:
请教下2个问题,非常感谢!
1. SecPath F100-E-G 加一条pppoe的带宽的命令怎样配置?
2. 这条pppoe带宽和原有一条固定ip带宽做负载均衡命令怎样配置?
组网及组网描述:
- 2020-09-03提问
- 举报
-
(0)
最佳答案
您好,请知:
问题一解答:部署为PPPOE客户端就可以了,可参考如下配置要点:
1. 配置拨号接口
在配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上使能共享DDR。每个PPPoE会话唯一对应一个Dialer bundle,而每个Dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建拨号访问组,并配置拨号控制规则 | dialer-group group-number rule { ip | ipv6 } { deny | permit | acl { acl-number | name acl-name } } | 缺省情况下,不存在拨号访问组 |
创建Dialer接口,并进入该Dialer接口视图 | interface dialer number | - |
配置接口IP地址 | ip address { address mask | ppp-negotiate } | 缺省情况下,接口没有配置IP地址 |
使能共享DDR | dialer bundle enable | 缺省情况下,接口上不使能任何类型的DDR |
配置该拨号接口关联的拨号访问组,将该接口与拨号控制规则关联起来 | dialer-group group-number | 缺省情况下,接口不与任何拨号访问组相关联 |
配置链路空闲时间 | dialer timer idle idle [ in | in-out ] | 缺省情况下,链路空闲时间为120秒 当idle配置为0时,PPPoE会话工作在永久在线模式下,否则工作在按需拨号模式下 |
配置DDR应用工作在诊断模式 | dialer diagnose [ interval interval ] | 缺省情况下,工作在非诊断模式 仅工作在诊断模式下需要配置本命令 |
配置DDR自动拨号的间隔时间 | dialer timer autodial autodial-interval | 缺省情况下,DDR自动拨号的间隔时间为300秒 当工作在永久在线模式或者诊断模式情况下,链路断开后将启动自动拨号定时器,等待自动拨号定时器超时后再重新发起呼叫 为了在链路断开时可以尽快自动重新拨号,建议将自动拨号的时间间隔配置的小一些 |
配置Dialer接口的MTU值 | mtu size | 缺省情况下,Dialer接口的MTU值为1500字节 对于PPPoE Client应用的Dialer接口,应修改其MTU值,保证分片后的报文加上2个字节的PPP头和6个字节的PPPoE头之后的总长度不超过对应PPPoE会话所在接口的MTU值 对于F100-M-G2/F100-S-G2/F100-C-G2/F100-C-EI/F100-C-HI/F100-S-HI/F1000-C8150/F1000-C8130/F1000-C8120/F100-C80-WiNet/F100-C60-WiNet设备,接口的MTU建议配置小于1490字节 |
2. 配置PPPoE会话
表2-2 配置PPPoE会话
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入三层以太网接口视图/三层以太网子接口视图/VLAN接口视图 | interface interface-type interface-number | - |
建立一个PPPoE会话,并且指定该会话所对应的Dialer bundle | pppoe-client dial-bundle-number number [ no-hostuniq ] | 缺省情况下,没有配置PPPoE会话 该Dialer bundle的序号number与Dialer接口的编号相同 |
问题二解答:由于是在出口设备,可以部署出方向的负载均衡,可参考如下配置:
3.16 出方向链路负载均衡典型配置举例
3.16.1 出方向链路负载均衡配置举例
1. 组网需求
用户从两个运营商ISP 1和ISP 2处分别租用了链路Link 1和Link 2,这两条链路的路由器跳数、带宽和成本均相同,但Link 1的网络延迟小于Link 2。通过配置链路负载均衡,使Server B访问Server A时优先选择这两条链路中的最优链路。
2. 组网图
图3-4 出方向链路负载均衡配置组网图
3. 配置步骤
· 配置接口IP地址
<LB> system-view
[LB] interface gigabitethernet 1/0/1
[LB-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[LB-GigabitEthernet1/0/1] quit
[LB] interface gigabitethernet 1/0/2
[LB-GigabitEthernet1/0/2] ip address 20.1.1.1 24
[LB-GigabitEthernet1/0/2] quit
· 配置链路组
# 创建ICMP类型的NQA模板t1,并配置每次探测结果发送机制。
[LB] nqa template icmp t1
[LB-nqatplt-icmp-t1] reaction trigger per-probe
[LB-nqatplt-icmp-t1] quit
# 指定缺省就近性探测方法为t1,并配置就近性计算的网络延迟权值为200。
[LB] loadbalance proximity
[LB-lb-proximity] match default probe t1
[LB-lb-proximity] rtt weight 200
[LB-lb-proximity] quit
# 创建链路组lg,并开启就近性功能。
[LB] loadbalance link-group lg
[LB-lb-lgroup-lg] proximity enable
# 关闭NAT功能。
[LB-lb-lgroup-lg] transparent enable
[LB-lb-lgroup-lg] quit
· 配置链路
# 创建链路link1,配置其下一跳IPv4地址为10.1.1.2,并加入链路组lg。
[LB] loadbalance link link1
[LB-lb-link-link1] router ip 10.1.1.2
[LB-lb-link-link1] link-group lg
[LB-lb-link-link1] quit
# 创建链路link2,配置其下一跳IPv4地址为20.1.1.2,并加入链路组lg。
[LB] loadbalance link link2
[LB-lb-link-link2] router ip 20.1.1.2
[LB-lb-link-link2] link-group lg
[LB-lb-link-link2] quit
· 配置虚服务器
# 创建LINK-IP类型的虚服务器vs,配置其VSIP为通配0.0.0.0/0,指定其缺省主用链路组为lg,并开启此虚服务器。
[LB] virtual-server vs type link-ip
[LB-vs-link-ip-vs] virtual ip address 0.0.0.0 0
[LB-vs-link-ip-vs] default link-group lg
[LB-vs-link-ip-vs] service enable
[LB-vs-link-ip-vs] quit
4. 验证配置
# 显示所有链路的简要信息。
[LB] display loadbalance link brief
Link route IP State Link group
link1 10.1.1.2 Active lg
link2 20.1.1.2 Active lg
# 显示所有链路组的详细信息。
[LB] display loadbalance link-group
Link group: lg
Description:
Predictor: Round robin
Proximity: Enabled
NAT: Disabled
SNAT pool:
Failed action: Keep
Active threshold: Disabled
Slow-online: Disabled
Selected link: Disabled
Probe information:
Probe success criteria: All
Probe method:
t1
Total link: 2
Active link: 2
Real server list:
Name State VPN instance Router IP Weight Priority
link1 Active 10.1.1.2 100 4
link2 Active 20.1.1.2 100 4
# 显示所有虚服务器的详细信息。
[LB] display virtual-server
Virtual server: vs
Description:
Type: LINK-IP
State: Active
VPN instance:
Virtual IPv4 address: 0.0.0.0/0
Virtual IPv6 address: --
Port: 0
Primary link group: lg (in use)
Backup link group:
Sticky:
LB policy:
LB limit-policy:
Connection limit: --
Rate limit:
Connections: --
Bandwidth: --
Inbound bandwidth: --
Outbound bandwidth: --
Connection synchronization: Disabled
Sticky synchronization: Disabled
Bandwidth busy protection: Disabled
#显示所有IPv4就近性表项的简要信息。
[LB] display loadbalance proximity ip
IPv4 entries in total: 1
IPv4 address/Mask length Timeout Best link
------------------------------------------------------------
10.1.0.0/24 50 link1
以下是F100系列的用户手册,请参考:
https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/FW_VPN/F100/
- 2020-09-03回答
- 评论(1)
- 举报
-
(0)
非常感谢,很详细,感谢!
现在有客户现场的运营商链路是PPPOE和固定IP的两条链路,PPPOE链路的不同之处就在于无法指定链路的下一跳和健康性检测的下一跳。LB设备和防火墙设备升级到官网最新版本(D032及之后的版本,例如,防火墙的R9333PXX版本)则支持这种PPPoE链路的出方向链路负载均衡。组网图如下,
配置步骤
LB设备上的关键配置(防火墙需要放通对应的安全策略,不再赘述):
#
interface Dialer1
ppp pap local-user test password cipher $c$3$HKrN4hJRbFiItP6JBbSKn6sjYufU8w==
dialer bundle enable
dialer-group 1
dialer timer idle 0
ip address ppp-negotiate
nat outbound
//先做拨号口的配置,在测试当中拨号口获取的地址是20.0.0.1
#
nqa template icmp nqa1
destination ip 20.0.0.254
out interface Dialer1
//创建PPPOE链路所用的ICMP健康性检测模板,指定探测的出接口和目的地址,这个目的地址根据现场实际情况来定
#
nqa template icmp nqa2
//创建固定IP链路所用的ICMP健康性检测模板,无须指定目的,会自动探测链路的router ip
#
interface GigabitEthernet2/0/1
port link-mode route
ip address A.A.A.A 255.255.255.0
//内网网关的配置,测试当中内网用户网关地址为10.0.0.1,到时请根据实际情况配置
#
interface GigabitEthernet2/0/2
port link-mode route
pppoe-client dial-bundle-number 1 //拨号口绑定
#
interface GigabitEthernet2/0/3
port link-mode route
ip address B.B.B.B 255.255.255.0
nat outbound
//固定IP的链路配置,测试当中配置的是30.0.0.2,现网中请按照实际情况配置
#
loadbalance link-group lg1
transparent enable
//创建链路组lg1,一定要记得关闭链路组当中的NAT转换,也就是说要配置transparent enable命令
#
loadbalance link-group lg2
transparent enable //创建链路组lg2
#
loadbalance class pppoe type link-generic match-any
match 1 acl 3001 //创建负载均衡类,acl 3001
#
acl advanced 3001
rule 0 permit ip source 10.0.0.2 0
// acl 3001当中放通地址10.0.0.2,负载均衡类的配置要结合现场实际需求来做,此处只是举例。
#
loadbalance class iplink type link-generic match-any
match 1 acl 3002 //创建负载均衡类,acl 3002
#
acl advanced 3002
rule 0 permit ip source 10.0.0.3 0
// acl 3002当中放通地址10.0.0.3,负载均衡类的配置要结合现场实际需求来做,此处只是举例。
#
loadbalance action pppoe type link-generic
link-group lg1 //创建负载均衡动作,让流量走链路组lg1
#
loadbalance action iplink type link-generic
link-group lg2 //创建负载均衡动作,让流量走链路组lg2
#
loadbalance policy test type link-generic
class pppoe action pppoe //让class为pppoe的流量执行action为pppoe的负载均衡动作
class iplink action iplink //让class为iplink的流量执行action为iplink的负载均衡动作
default-class action iplink //其他流量执行action为iplink的负载均衡动作
#
virtual-server test_pppoe type link-ip
virtual ip address 0.0.0.0 0
lb-policy test
service enable //创建虚服务,调用名为test的负载均衡策略
#
loadbalance link pppoe
router interface Dialer1
link-group lg1
probe nqa1
//创建链路pppoe属于链路组lg1,出接口为dialer口,健康性检测调用nqa1
#
loadbalance link iplink
router ip 30.0.0.1
link-group lg2
probe nqa2
//创建链路固定ip属于链路组lg2,下一跳30.0.0.1,健康性检测调用nqa2
#
关键配置的web界面配置:
创建负载均衡类:
创建PPPOE链路健康性检测模板:
创建固定IP链路:
创建PPPOE链路:
创建链路组:
配置完成之后可以通过会话信息测试:
当PC1的地址为10.0.0.2时,匹配acl 3001,会话信息如下:
Slot 2:
Initiator:
Source IP/port: 10.0.0.2/1
Destination IP/port: 40.0.0.2/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet2/0/1
Source security zone: Trust
Responder:
Source IP/port: 40.0.0.2/2
Destination IP/port: 20.0.0.1/0 //nat outbound转换成了pppoe的接口地址
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Dialer1 //回包入接口是dialer口
Source security zone: dialer
State: ICMP_REPLY
Application: ICMP
Rule ID: 0
Rule name: pass
Start time: 2019-12-20 21:07:08 TTL: 25s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes //来回报文都有
当PC1的地址为10.0.0.2时,匹配acl 3001,会话信息如下:
Slot 2:
Initiator:
Source IP/port: 10.0.0.3/1
Destination IP/port: 40.0.0.2/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet2/0/1
Source security zone: Trust
Responder:
Source IP/port: 40.0.0.2/26
Destination IP/port: 30.0.0.2/0 //NAT 转换成了固定IP接口的地址
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet2/0/3 //回包入接口是固定IP地址接口
Source security zone: Untrust
State: ICMP_REPLY
Application: ICMP
Rule ID: 0
Rule name: pass
Start time: 2019-12-20 21:06:15 TTL: 23s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
配置关键点
配置基于PPPOE的出方向链路负载与配置固定IP的链路负载最大区别在于以下两点:
- 创建链路时需要指定出接口为dialer口而不是指定router ip。
- 创建NQA探测模板时需要指定出接口以及探测的目的地址,且这个目的地址是可达的。
- 2020-09-03回答
- 评论(1)
- 举报
-
(1)
非常感谢,描述很详细,感谢!
非常感谢,描述很详细,感谢!
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
非常感谢,很详细,感谢!