不仅仅是IDC,企业园区网为保证网络出口的冗余可靠性或者特殊的需求,一般会选择多运营商接入。除了专门的负载均衡设备,可以基于一些策略来实现基本的链路负载和高可用,对于网络老司机都是轻车熟路仅分享给入门的网络工程师小伙伴和需要的其他IT同行。本次基于实验由易至难来演示实际工作中用到的多ISP运营商接入的网络出口设计:
实验拓扑
· 拓扑说明:仅为演示多出口设计,为简化配置路由器核心交换机分别使用一台,多设备冗余可参考之前分享的文章:(https://www.toutiao.com/i6686644512095207943/ 园区网设计)
Router为园区网出口路由器接入运营商,地址分别为:CT:1.100.1.2/29、CU:2.200.1.2 ;
Win-1和Win-2分别模拟内网2个网段用户:192.168.1.100/24、192.168.2.1/24;
· 设计思路:1. 输出口1:1流量自动负载;
2. 基于源IP手动选择出口;
3. 监控外网链路网络质量,自动切换出口;
4. 基于目的地址的运营商选择出口ISP;
一、 简单的1:1流量自动负载:适用于出口带宽大小基本一致,用户对运营商无特殊要求的设计:
CoreSwitch:
//配置Client所需DHCP Serverip dhcp pool VLAN100network 192.168.1.0 255.255.255.0default-router 192.168.1.1dns-rver 114.114.114.114!ip dhcp pool VLAN200network 192.168.2.0 255.255.255.0default-router 192.168.2.1dns-rver 114.114.114.114//起OSPF进程并将与router的接口以及内网的vlan宣告进OSPF,以便Router能基于IGP获取内网回程路由:router ospf 1router-id 10.1.1.2//配置网关地址interface Vlan100ip address 192.168.1.1 255.255.255.0ip ospf 1 area 0!interface Vlan200ip address 192.168.2.1 255.255.255.0ip ospf 1 are 0interface Ethernet0/0switchport trunk encapsulation dot1qswitchport mode trunkduplex auto!interface Ethernet0/1no switchportip address 10.1.1.2 255.255.255.252ip ospf 1 area 0duplex auto
Win1及Win2自动获取到的地址:
Win-1 DHCP地址
Win-2 DCHP地址
Router:
/匹配需要做NAT的内网地址ip access extend PAT10 permit ip 192.168.0.0 0.0.255.255 anyip access extend PAT-CT10 permit ip 192.168.0.0 0.0.255.255 any//以上ACL的内网地址基于e0/1、e0/2做PATip nat inside source list PAT interface e 0/2 overloadip nat inside source list PAT-CT interface Ethernet0/1 overload//两条默认路由负载均衡ip route 0.0.0.0 0.0.0.0 1.100.1.1ip route 0.0.0.0 0.0.0.0 2.200.1.1//PAT的内网接口interface Ethernet0/0ip address 10.1.1.1 255.255.255.252ip nat insideip virtual-reasmbly inip ospf 1 area 0!//PAT的外网接口interface Ethernet0/1ip address 1.100.1.2 255.255.255.248ip nat outsideip virtual-reasmbly in!interface Ethernet0/2ip address 2.200.1.2 255.255.255.248ip nat outsideip virtual-reasmbly in
二、 基于源IP选择出口ISP,以上是最简单的最缺乏控制的双出口方式,当两条出口带宽大小不同,或者用户对运营商有要求,则需要使用route-map来详细的分流,例如:Vlan100 使用CT,Vlan200使用CU.
Router:
//匹配vlan100和vlan200的内网地址ip access-list extended PAT-CTpermit ip 192.168.1.0 0.0.0.255 anyip access-list extended PAT-CUpermit ip 192.168.2.0 0.0.0.255 any!!//基于内网地址设置下一跳接口地址route-map PAT-CU permit 10match ip address PAT-CUt ip next-hop 2.200.1.1!route-map PAT-CT permit 10match ip address PAT-CTt ip next-hop 1.100.1.1!//PAT配置ip nat inside source route-map PAT-CT interface Ethernet0/1 overloadip nat inside source route-map PAT-CU interface Ethernet0/2 overload
可以查看NAT的转换效果:
查看NAT
三、 以上解决了对特定用户选择不同运营商的问题,但是如果某条链路出问题,无法切换到另外一条链路。需要联动SLA/NQA+track实现链路故障后的切换:
Router:
\匹配所有内网,到两条ISP出口的PAT,方便一条ISP故障后切换能正常转换。ip access extend NAT1permit ip any anyip access extend NAT2permit ip any anyip nat inside source list NAT1 interface e 0/1 overloadip nat inside source list NAT2 interface e 0/2 overloadip sla 100//使用CT地址探测公网114.114.114.114icmp-echo 114.114.114.114 source-ip 1.100.1.2//探测时间Frequency 5//阈值,抖动可选threshold 6000//丢包时间可选Timeout 5000//启用SLA100ip sla schedule 100 life forever start-time nowip sla 200icmp-echo 114.114.114.114 source-ip 2.200.1.2frequency 5threshold 1000timeout 5000ip sla schedule 200 life forever start-time now//检测SLA的状态track 100 ip sla 100 reachabilitytrack 200 ip sla 200 reachability//在入接口使用PBR,使VLAN100-CT,并基于Track去检测,如果track100正常则基于CT作为出口,如果Track100有问题,则检测track200可用性,如果可用则选用CUroute-map PAT permit 10match ip address PAT-CTt ip next-hop verify-availability 1.100.1.1 1 track 100t ip next-hop verify-availability 2.200.1.1 2 track 200//在入接口使用PBR,使VLAN200-CU,并基于Track去检测,如果track200正常则基于CU作为出口,如果Track200有问题,则检测track100可用性,如果可用则选用CTroute-map PAT permit 20match ip address PAT-CUt ip next-hop verify-availability 2.200.1.1 1 track 200t ip next-hop verify-availability 1.100.1.1 2 track 100//在入接口调用PBRInterface e0/0ip policy route-map PAT
简单测试:
· 正常测试Win-1的路径:
Win-1路径
CT出口
· 关闭CT的e0/1但是Router的e0/1至CT链路正常,,Sla状态timeout,Track100检测到链路故障,Track 200 up,自动切换至CU:
Sla状态
Track 100 timeout
Route-Map状态
Win-1切换至CU出口:
Win-1测试
Router的PAT转换
PAT转换表
4、 基于目的地址的运营商选择出口ISP,类似F5的内置地址库,首先匹配不同运营商的目的地址,基于PBR做PAT,类似方法三:
比如我们统计到:1.101.1.0/16、 1.102.1.0/16、3.101.1.0/16、96.101.1.0/16等等为电信地址,参考配置如下:
Router:
ip access-list extend CTpermit 10 ip any 1.101.1.0 0.0.255.255permit 20 ip any 1.102.1.0 0.0.255.255permit 30 ip any 3.101.1.0 0.0.255.255permit 40 ip any 96.101.1.0 0.0.255.255route-map CT permit 10match ip address CTmatch interface e 0/1
当然现实中电信的路由经过汇总也会在6000条以上,并且运营商每次汇总会有出入,如果想做到精确的基于目的地址的出口运营商ISP选择,还是要使用专门的负载设备,例如F5的GTM,之前在的文章F5的基本原理和配置已做介绍。https://www.toutiao.com/i6692359498197107214/
以上为常用企业网多出口的配置,仅供初学者参考,如有问题欢迎讨论。
本文发布于:2023-02-28 20:13:00,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/zhishi/a/167766338479009.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:route.doc
本文 PDF 下载地址:route.pdf
| 留言与评论(共有 0 条评论) |
