一、适用场景:
1、企业规模较大时,1条公网带宽流量可能不足,需要用到多条公网出口时。
2、企业有业务需要静态ip映射,但是因静态ip专线价格较高,所以需要拨号光纤承载较多的下行流量。
3、当公网出口有多条链路,若从防火墙到运营商之间的其中一条故障,内网出去的流量会根据外网链路健康检查的结果,自动切换到好的链路上。
4、多条公网出口必然要考虑到每条链路的实用性,所以要做负载均衡,让每条链路发挥它的作用,提高线路利用率。
5、采用的方案:PPPoE光猫拨号、光猫桥接bridge模式;H3C路由器自动拨号、路由器配置静态路由;防火墙配置静态路由调用ip_link、配置安全策略、配置ip_link、配置健康检查、配置智能选路负载均衡。
6、配置策略路由,验证配置结果。
二、拓扑图:
三、配置过程:(本例主要完成拓扑图中的绿色部分)
(一)配置光猫参数
1、检查光猫到运营商之间的信号,信号正常时,光纤指示灯常亮,正常时如下图:
2、单独连接笔记本电脑到光猫的千兆口,连接后,千兆口指示灯亮,如上图:
3、登录到光猫
4、配置光猫
(1)查看当前的状态,点“状态”中的“网络侧信息”
(2)从上图中可以看出,当前是服务接口3_INTERNET_R_VID使用的PPPoE协议,即使用光猫来完成PPPoE的拨号完成身份验证。但实际管理的过程中,并不直接登录到光猫查看状态,而且ISP运营商也有权限的限制,所以本例不采用光猫直接拨号验证身份。
我们主要看的是状态,而不是IGMP是否启用, IGMP是Internet Group Management Ptotocol的简称,被称为互联网组管理协议。
(3)本例采用H3C的路由器完成拨号身份验证的过程,所以配置时,让光猫以桥接的方式接入到网络当中即可,那么配置时要启用2_other_B_VID_45这一项,如下图:
(4)点“网络”中的“宽带设置”,可以看到下拉列表,列表中的说明如下:
1_TR069_VOICE_R_VID_46:指的是使用电话线拨号,明显与我们本次实战不符,不选它。
2_Other_B_VID_45:指的B是Bridge桥接模式,VID_45是vlan ID号,即我们要用的项。
3_INTERNET_R_VID_:指的是路由模式,若让光猫完成PPPoE的拨号身份验证,那么就选此项,不适合本例,不选它。
(5)本例实战中的配置选项,如下图:
完成配置后,点应用。
(二)配置H3C路由器:
1、把光猫的千兆口网线接到路由器的WAN口,再用笔记本电脑接到路由器,登录到路由器后,点接口设置,WAN设置,下拉列表中的选项含义如下:
(1)静态地址:若从ISP处申请了公网的静态ip地址,则选本项,本例不符,不选它。
(2)动态地址:由ISP处的设备动态分发ip地址给用户的公网出口时选本项,也就是说ISP有DHCP服务器,给用户的公网出口分配动态的IP地址,本例不符,不选它。
(3)PPPoE:即本例所使用的宽带光纤拨号,所以选它。如下图:
2、配置路由器的WAN口,填写好从ISP运营商处获得的PPPoE用户名和PPPoE密码,点应用保存,如下图:。
3、查看路由器采用PPPoE拨号连接后的状态,链路状态已连接,并能看到拨号身份验证通过后的公网ip地址,此公网ip地址会随着用网络流量的情况而变化,即无流量时有可能会释放该ip地址,当下次有流量时,另外再PPPoE拨号会获得另一个公网ip地址(目的是全球ipv4公网ip地址紧缺,所以要提高ipv4公网ip地址的利用率)。
4、配置路由器上的静态路由
注意缺省路由是0.0.0.0 0.0.0.0 下一跳113.118.48.1,即所有内网终端上网时通过这个公网地址NAT到外网,上面的2项路由表是配置的DNS服务器,用于解析域名,根据当地的实际情况配置,及使用的哪个ISP运营商来配置。
(三)配置防火墙到路由器及公网之间的连通性
1、配置之前,路由器到防火墙的这个接口是未启用的状态,物理+ipv4是红色的状态,如下图:
2、启用路由器到防火墙的这个接口,物理+ipv4变成绿色,如下图:
3、在防火墙上配置静态路由,使路由器到防火墙能通,并绑定ip_link,达到某链路检测断开后,自动切换到好的公网链路上的目的。
4、测试防火墙ping路由器通过光猫拨号连接的公网ip,不通,说明要做防火墙本地到公网untrust之间的安全策略,放通才可以ping通。
5、做防火墙本地到公网untrust之间的安全策略,启用策略,如下图:
6、再次测试防火墙,能ping路由器通过光猫拨号连接的公网ip,如下图:
(四)配置防火墙到路由器及运营商公网ip设备之间的ip_link,采用icmp协议测试心跳,一旦拨号光纤的信号断开,从防火墙的该接口出去到公网的流量,自动切换到别的好用的链路上。
1、登录华为USG6630防火墙后,点系统,高可靠性,ip_link,新建一条如下图:
当状态从init初始化到Up上线状态后,说明这条ip_link已经生效。
2、查看链路的健康状态
(1)当防火墙与待侦测目的ip(公网地址)之间不通时,状态为down,本例是将公网ip改为了一个网络中没有的ip地址来测试,点“对象”的“健康检查”后,如下图:
3、当网络中的物理链路、路由表、光猫PPPoE拨号正常后,配置好防火墙的安全策略,启用ip_link即可查看到是不是有链路已经down了,测试过程中是init初始化状态,Up为正常状态,如下图:
(五)配置防火墙上的全局选路,实现流量的负载均衡
1、通过网络,路由,智能选路,配置,可以对多条公网链路进行主备或负载分担的方式进行流量的管理
(1)根据链路权重负载分担,所有链路的权重值加起来等于10。
(2)根据链路带宽负载分担,即所有用户优先级相同,只是出口的带宽不同的情况下使用。
(3)根据链路质量负载分担,是指根据网络的延时和抖动来判断公网选路。
(4)根据链路优先级主备备份,是指某些重要的应用场合,比如大型活动或视频会议,当1条主链路出现故障后,切换到备用链路,但是链路的利用率低。
2、配置全局选路时,调用上一步创建的ip_link,本例采用根据权重负载分担
3、过载保护的阈值,根据具体的网络运行情况来定。当某链路拥挤到90%时,其余流量走别的公网链路。
四、验证结果:
(一)外网多出口时,某条链路故障,流量自动切换到好的链路
思路:配置策略路由,让某网段外网出口从指定光纤走。因为策略路由优先于ip路由表的转发。所有链路正常时,查看某PC的公网ip后,智能选路再增加一条外网链路,然后断开本例中的光纤,观察持续ping百度的数据包仅掉2个,且终端的外网不会断开,流量会自动切换到好的链路上,并验证公网ip的变化,操作如下:
1、指定某网段从这个光猫拨号的链路到公网
(1)网络,智能选路,策略路由,新建一条策略路由,如下图:
(2)指定出口时,将别的公网出口删除,只剩我们即将测试的这条公网链路
2、对比光猫拨号的公网ip,与PC机上的公网ip,是对应关系,说明PC是从该链路转发数据包。
(1)从路由器查看公网ip,如下图:
(2)查看策略路由配置后的网段,其中一台PC的公网ip,与路由器拨号后的公网ip一致,说明该网段的PC外网出口即为此光猫拨号后的公网。
3、使用ping www.baidu.com –t的方式持续ping百度网站,策略路由中再添加另一条拨号光纤
(1)持续ping百度
(2)策略路由中再添加另一条拨号光纤waiwang7345,如下图:
(3)查看新添加的拨号光纤waiwang7345公网ip地址:
4、断开原075589783795@163.gd光纤,再查看ping 百度掉的数据包
(1)断开原075589783795@163.gd光纤
(2)对用户来说,看到掉了2个ping百度的数据包,几乎是无感知状态,如下图:
(3)查看现在PC的公网ip,已经变成了后面添加的waiwang7345拨号的光纤公网ip,如下图:
5、断开075589783795@163.gd光纤后,健康检查icmp时状态为down,符合我们的预期,如下图:
6、断开075589783795@163.gd光纤后,系统,高可靠性,ip_link中的状态也为down,符合预期,如下图:
7、从智能选路查看,状态红色,不走数据流量,所以实现了终端用户无感知外网链路的故障,而自动切换到好的链路上的目的。
(二)配置多条公网出口的负载均衡:
1、网络,智能选路,配置,将所有的公网链路添加进去,如下图:
2、查看业务量大的时刻负载均衡的状态,如下图:
综上所述,本例采用光猫桥接,而不是光猫拨号的方式,管理过程中,配合防火墙的静态路由调用ip_link、配置安全策略、配置ip_link、配置健康检查、配置智能选路负载均衡。本次实战,既实现了多链路中,某链路故障时,会自动切换到好的公网链路的情况;也实现了多链路的负载均衡,提高了链路的利用率。
说明:
1、有人会说防火墙也能拨号,就不需要光猫,确实如此,但是通过实战验证,当防火墙的品牌与型号跟运营商的设备品牌、型号兼容性不好的情况下,容易出现掉线的情况。
2、本例如果采用光猫拨号的话,很难监测到从防火墙到路由器再到光猫的这条链路是否正常。况且一般情况下,运营商是不会把光猫的配置和管理权限交给用户的。本文至此结束,不足之处敬请批评指正。
