1 1拓撲
拓撲可以保存到本地,然後擴大查看,這樣才能看的更清楚。
1 路由部署【根據需求不同,部署默認路由、浮動路由 NQA或者IP-link,策略路由】
分析:在實際工作中有多種需求
1、客戶想實現電信的流量訪問電信,聯通的流量訪問聯通【這個需要高版本防火牆才支持】
2、客戶想實現2個ISP被充分利用了,並且當一個ISP出向故障的時候,自動切換到另外的ISP上面。
3、客戶想默認情況下走電信,但電信出現故障的時候,才走聯通【或者聯通走VPN流量,電信走ISP流量。】
3 具體實現
1、客戶想實現電信的流量訪問電信,聯通的流量訪問聯通【這個需要高版本防火牆才支持】
說明:實現該需求,其實需要大量的路由網段,需要知道電信與聯通的最新網段,然後敲入一個明細的路由到路由表中,這樣來實現訪問電信的走電信,訪問聯通的走聯通,像一些小廠商的路由器默認就集成了路由表,所以可以提供這樣的功能,USG目前的版本還沒有集成,在下一代防火牆NGfW中,聽說是集成了路由表的,而且可以實現負載均衡的情況,所以在實現該需求的時候要麼知道電信 聯通的明細路由,或者使用高版本【這個需要華為推出來後才可以使用】,目前是無法實現的。
2、客戶想實現2個ISP被充分利用了,並且當一個ISP出向故障的時候,自動切換到另外的ISP上面。
說明:這個目前在工作中使用的方法是最多的,它主要是利用內網的網段來負載分擔,比如一般的流量走電信,一半的流量走聯通,然後通過NQA或者IP-lINk技術的配合來檢測ISP是否正常,然後通過策略路由來分類。
4 策略路由實施
[USG-GW]acl number 2000
[USG-GW-acl-basic-2000]description Core-A Vrrp master to access internet
[USG-GW-acl-basic-2000]rule permit source 192.168.19.0 0.0.0.255
[USG-GW-acl-basic-2000]rule permit source 192.168.21.0 0.0.0.255
[USG-GW]acl number 2001
[USG-GW-acl-basic-2001]description Core-B vrrp master to access internet
[USG-GW-acl-basic-2001]rule permit source 192.168.20.0 0.0.0.255
說明:定義了2個ACl,該ACl的分類是根據VrrP的Master來區分的,比如Core-A上面的Master網段則定義在200裡面,而Core-B的Master網段走定義在2001裡面,這樣的話用來匹配不同內網的流量,最終調用在策略路由中,實現效果。
[USG-GW]policy-based-route to-isp permit node 5
[USG-GW-policy-based-route-to-isp-5]if-match acl 2000
[USG-GW-policy-based-route-to-isp-5]apply ip-address next-hop 202.100.1.1
[USG-GW]policy-based-route to-isp permit node 10
[USG-GW-policy-based-route-to-isp-10]if-match acl 2001
[USG-GW-policy-based-route-to-isp-10]apply ip-address next-hop 61.128.1.1
說明:定義了2個策略路由,第一個為訪問電信的,當匹配了ACl 2000的時候,則走下一跳202.100.1.1,第二個則為訪問聯通的,當匹配了ACl 2001的時候,則走下一跳61.128.1.1。另外這裡必須寫在一個策略裡面,因為一個接口只能調用一個策略路由,所以這裡最終調用在VLAN接口下。
[USG-GW]interface vlan 1
[USG-GW-Vlanif1]ip policy-based-route to-isp
說明:這裡沒有方向性的,策略路由能調用在源接口。
5
IP-Link技術實施說明:其中大家覺得可以用NQA的,但是在防火牆上面NQA不支持關聯路由,只能用IP-Link,而且IP-link技術有一個莫大的優勢,就是可以跟 策略路由聯動。
[USG-GW]ip-link check enable
[USG-GW]ip-link 1 destination 202.100.1.1 interface g0/0/1 mode icmp
[USG-GW]ip-link 2 destination 61.128.1.1 interface g0/0/2 mode icmp
說明:開啟了IP-Link技術,並且定義了2個,當目的地202.100.1.1可以用ICMP測試的情況下,IP-Link1是UP的,否則為Down,當然Ip-Link效果也一樣。最終關聯到路由裡面就行了。
可以看到現在都是UP的。
6 擴展應用【如果想測試Dns或者是撥號接口該怎麼辦】
[USG-GW]ip-link 3 destination ccieh3c.taobao.com interface g0/0/1 這種可以實現當訪問該域名從G0/0/1不通的情況下,則認為該鏈路失效了。這種為dNS測試辦法
注意需要打開dNS解析功能,與定義dNS服務器地址。dns resolve dns server x.x.x.x
[USG-GW]ip-link 3 destination ccieh3c.com mode icmp next-hop dialer ,這種就是說當是PPPOe環境的時候,可以指定下一跳為撥號接口。當然也可以 ip-link 3 destination ccieh3c.taobao.com interface dialer 0這樣。Destinatio可以為IP或者域名。
7 默認路由定義
[USG-GW]ip route-static 0.0.0.0 0 202.100.1.1 track ip-link 1
[USG-GW]ip route-static 0.0.0.0 0 61.128.1.1 track ip-link 2
說明:定義了2條默認路由,分別指向聯通電信的下一跳,注意這裡是關聯了IP-LINk技術的。
8 策略與NAT定義
策略與NAT之前已經定義完畢了,所以這裡不需要重複定義。
9 結果驗證測試【以訪客廳與Boos為例。】
9.3.1 訪問Internet測試【雙線路訪問,並且測試一邊失效後的結果。】
2.5.1訪客廳用戶測試
已經獲取到了IP地址
NAT轉換條目查看
可以看到有dNS的流量,都是走的202.100.1.2,當解析到了公網地址後,然後通過轉換為202.100.1.2 訪問百度。
策略檢查匹配項
可以看到這裡是有對應匹配的。
NAT匹配項
為什麼策略2可以生效呢,因為現在已經是在Action中。
可以看到ACL也有對應的匹配。
10 測試當dx出現故障後,能否繼續訪問外網
[USG-GW]int g0/0/1
[USG-GW-GigabitEthernet0/0/1]shutdown
這裡只能認為的關閉下端口,造成故障的問題。
說明下:PING 114.114.114.144是可以通信的,而8.8.8.8則不行,國內已經封閉了。
有對應的策略匹配。
策略路由與IP-Link技術匹配的時候效果
當有IP-Link技術與策略路由同時出現的時候,系統會默認的根據IP-Link檢測的下一跳地址,來判斷策略路由是否生效,202.100.1.1失效了,則該策略路由對應的也失效,所以這裡走的不是策略路由,而是走的默認路由。
11
高層部門下測試
已經獲取到了對應的VLAN下的地址。
可以看到會話信息,都是通過 61.128.1.2轉發的。
可以看到,現在第一個是有匹配了的,因為這個是給Boss網段用的。
策略路由調用的ACL也是有效果的。
12 測試斷開鏈路,繼續訪問
可以看到後面的都是關於202.100.1.2的了,並不是61.128.1.2,而且訪問正常。
可以看到,電信的策略有匹配項目了。
13 總結
關於雙ISP的實施,注意幾點就可以了,關於ip-link技術與策略路由的配合,另外就是需要放行的策略,與NAT的配置。注意查看匹配項來檢查是否正常轉換。
客戶想默認情況下走電信,但電信出現故障的時候,才走聯通【或者聯通走VPN流量,電信走ISP流量。】
關於該定義的話,這裡就不演示結果了,只給出思路與配置。
1、定義ip-link技術
2、直接指向一條默認路由到DX。【注意關聯ip-link】
3、定義一條浮動默認路由指向聯通【不需要調用ip-link,但是優先級要把DX的要大】
4、如果要實現VPN的流量走聯通的話,指向把需要訪問對方私網網段的地址直接指向聯通的出接口即可。那麼在加密處理的時候自然會把包引向聯通的接口,然後發送給對方。
說明:這樣實現的額效果就是默認情況下走電信,當ip-link技術檢查到電信的鏈路壞了,然後默認路由消失,直接用聯通的默認路由,而VPN因為有靜態路由的存在,所以會引向聯通的接口從而進行加密處理。
也只是業餘時間寫寫技術文檔,請大家見諒,大家覺得不錯的話,可以推薦給朋友哦,博主會努力推出更好的系列文檔的。如果大家有任何疑問或者文中有錯誤跟疏忽的地方,歡迎大家留言指出,博主看到後會第一時間修改,謝謝大家的支持,
閱讀更多 思恆科技 的文章
