不僅僅是IDC,企業(yè)園區(qū)網(wǎng)為保證網(wǎng)絡出口的冗余可靠性或者特殊的需求,一般會選擇多運營商接入。除了專門的負載均衡設備,可以基于一些策略來實現(xiàn)基本的鏈路負載和高可用,對于網(wǎng)絡老司機都是輕車熟路僅分享給入門的網(wǎng)絡工程師小伙伴和需要的其他IT同行。本次基于實驗由易至難來演示實際工作中用到的多ISP運營商接入的網(wǎng)絡出口設計:
實驗拓撲
· 拓撲說明:僅為演示多出口設計,為簡化配置路由器核心交換機分別使用一臺,多設備冗余可參考之前分享的文章:(https://www.toutiao.com/i6686644512095207943/ 園區(qū)網(wǎng)設計)
Router為園區(qū)網(wǎng)出口路由器接入運營商,地址分別為:CT:1.100.1.2/29、CU:2.200.1.2 ;
Win-1和Win-2分別模擬內(nèi)網(wǎng)2個網(wǎng)段用戶:192.168.1.100/24、192.168.2.1/24;
· 設計思路:1. 輸出口1:1流量自動負載;
2. 基于源IP手動選擇出口;
3. 監(jiān)控外網(wǎng)鏈路網(wǎng)絡質(zhì)量,自動切換出口;
4. 基于目的地址的運營商選擇出口ISP;
一、 簡單的1:1流量自動負載:適用于出口帶寬大小基本一致,用戶對運營商無特殊要求的設計:
CoreSwitch:
//配置Client所需DHCP Serverip dhcp pool VLAN100network 192.168.1.0 255.255.255.0default-router 192.168.1.1dns-rver 114.114.114.114!ip dhcp pool VLAN200network 192.168.2.0 255.255.255.0default-router 192.168.2.1dns-rver 114.114.114.114//起OSPF進程并將與router的接口以及內(nèi)網(wǎng)的vlan宣告進OSPF,以便Router能基于IGP獲取內(nèi)網(wǎng)回程路由:router ospf 1router-id 10.1.1.2//配置網(wǎng)關地址interface Vlan100ip address 192.168.1.1 255.255.255.0ip ospf 1 area 0!interface Vlan200ip address 192.168.2.1 255.255.255.0ip ospf 1 are 0interface Ethernet0/0switchport trunk encapsulation dot1qswitchport mode trunkduplex auto!interface Ethernet0/1no switchportip address 10.1.1.2 255.255.255.252ip ospf 1 area 0duplex auto
Win1及Win2自動獲取到的地址:
Win-1 DHCP地址
Win-2 DCHP地址
Router:
/匹配需要做NAT的內(nèi)網(wǎng)地址ip access extend PAT10 permit ip 192.168.0.0 0.0.255.255 anyip access extend PAT-CT10 permit ip 192.168.0.0 0.0.255.255 any//以上ACL的內(nèi)網(wǎng)地址基于e0/1、e0/2做PATip nat inside source list PAT interface e 0/2 overloadip nat inside source list PAT-CT interface Ethernet0/1 overload//兩條默認路由負載均衡ip route 0.0.0.0 0.0.0.0 1.100.1.1ip route 0.0.0.0 0.0.0.0 2.200.1.1//PAT的內(nèi)網(wǎng)接口interface Ethernet0/0ip address 10.1.1.1 255.255.255.252ip nat insideip virtual-reasmbly inip ospf 1 area 0!//PAT的外網(wǎng)接口interface Ethernet0/1ip address 1.100.1.2 255.255.255.248ip nat outsideip virtual-reasmbly in!interface Ethernet0/2ip address 2.200.1.2 255.255.255.248ip nat outsideip virtual-reasmbly in
二、 基于源IP選擇出口ISP,以上是最簡單的最缺乏控制的雙出口方式,當兩條出口帶寬大小不同,或者用戶對運營商有要求,則需要使用route-map來詳細的分流,例如:Vlan100 使用CT,Vlan200使用CU.
Router:
//匹配vlan100和vlan200的內(nèi)網(wǎng)地址ip access-list extended PAT-CTpermit ip 192.168.1.0 0.0.0.255 anyip access-list extended PAT-CUpermit ip 192.168.2.0 0.0.0.255 any!!//基于內(nèi)網(wǎng)地址設置下一跳接口地址route-map PAT-CU permit 10match ip address PAT-CUt ip next-hop 2.200.1.1!route-map PAT-CT permit 10match ip address PAT-CTt ip next-hop 1.100.1.1!//PAT配置ip nat inside source route-map PAT-CT interface Ethernet0/1 overloadip nat inside source route-map PAT-CU interface Ethernet0/2 overload
可以查看NAT的轉(zhuǎn)換效果:
查看NAT
三、 以上解決了對特定用戶選擇不同運營商的問題,但是如果某條鏈路出問題,無法切換到另外一條鏈路。需要聯(lián)動SLA/NQA+track實現(xiàn)鏈路故障后的切換:
Router:
\匹配所有內(nèi)網(wǎng),到兩條ISP出口的PAT,方便一條ISP故障后切換能正常轉(zhuǎn)換。ip access extend NAT1permit ip any anyip access extend NAT2permit ip any anyip nat inside source list NAT1 interface e 0/1 overloadip nat inside source list NAT2 interface e 0/2 overloadip sla 100//使用CT地址探測公網(wǎng)114.114.114.114icmp-echo 114.114.114.114 source-ip 1.100.1.2//探測時間Frequency 5//閾值,抖動可選threshold 6000//丟包時間可選Timeout 5000//啟用SLA100ip sla schedule 100 life forever start-time nowip sla 200icmp-echo 114.114.114.114 source-ip 2.200.1.2frequency 5threshold 1000timeout 5000ip sla schedule 200 life forever start-time now//檢測SLA的狀態(tài)track 100 ip sla 100 reachabilitytrack 200 ip sla 200 reachability//在入接口使用PBR,使VLAN100-CT,并基于Track去檢測,如果track100正常則基于CT作為出口,如果Track100有問題,則檢測track200可用性,如果可用則選用CUroute-map PAT permit 10match ip address PAT-CTt ip next-hop verify-availability 1.100.1.1 1 track 100t ip next-hop verify-availability 2.200.1.1 2 track 200//在入接口使用PBR,使VLAN200-CU,并基于Track去檢測,如果track200正常則基于CU作為出口,如果Track200有問題,則檢測track100可用性,如果可用則選用CTroute-map PAT permit 20match ip address PAT-CUt ip next-hop verify-availability 2.200.1.1 1 track 200t ip next-hop verify-availability 1.100.1.1 2 track 100//在入接口調(diào)用PBRInterface e0/0ip policy route-map PAT
簡單測試:
· 正常測試Win-1的路徑:
Win-1路徑
CT出口
· 關閉CT的e0/1但是Router的e0/1至CT鏈路正常,,Sla狀態(tài)timeout,Track100檢測到鏈路故障,Track 200 up,自動切換至CU:
Sla狀態(tài)
Track 100 timeout
Route-Map狀態(tài)
Win-1切換至CU出口:
Win-1測試
Router的PAT轉(zhuǎn)換
PAT轉(zhuǎn)換表
4、 基于目的地址的運營商選擇出口ISP,類似F5的內(nèi)置地址庫,首先匹配不同運營商的目的地址,基于PBR做PAT,類似方法三:
比如我們統(tǒng)計到:1.101.1.0/16、 1.102.1.0/16、3.101.1.0/16、96.101.1.0/16等等為電信地址,參考配置如下:
Router:
ip access-list extend CTpermit 10 ip any 1.101.1.0 0.0.255.255permit 20 ip any 1.102.1.0 0.0.255.255permit 30 ip any 3.101.1.0 0.0.255.255permit 40 ip any 96.101.1.0 0.0.255.255route-map CT permit 10match ip address CTmatch interface e 0/1
當然現(xiàn)實中電信的路由經(jīng)過匯總也會在6000條以上,并且運營商每次匯總會有出入,如果想做到精確的基于目的地址的出口運營商ISP選擇,還是要使用專門的負載設備,例如F5的GTM,之前在的文章F5的基本原理和配置已做介紹。https://www.toutiao.com/i6692359498197107214/
以上為常用企業(yè)網(wǎng)多出口的配置,僅供初學者參考,如有問題歡迎討論。
本文發(fā)布于:2023-02-28 20:13:00,感謝您對本站的認可!
本文鏈接:http://m.newhan.cn/zhishi/a/167766338479009.html
版權聲明:本站內(nèi)容均來自互聯(lián)網(wǎng),僅供演示用,請勿用于商業(yè)和其他非法用途。如果侵犯了您的權益請與我們聯(lián)系,我們將在24小時內(nèi)刪除。
本文word下載地址:route.doc
本文 PDF 下載地址:route.pdf
| 留言與評論(共有 0 條評論) |
