HC双线出口配置
H C双线出口配置
Document serial number【UU89WT-UU98YT-UU8CB-UUUT-UUT108】
H3C 双互联网接入负载分担及备份【解决方案及配置实例】
#
version,Alpha1011
#
sysnameH3C
#
bfdecho-source-ip
#
aclnumber3000
rule0permitipsource
aclnumber3001
rule0permitipsource
#
interface?Ethernet0/1/0
portlink-moderoute
ipaddress
ippolicy-based-routeinternet
#
interface?Ethernet0/1/1
portlink-moderoute
ipaddress
#
interface?Ethernet0/1/2
portlink-moderoute
ipaddress
#
policy-based-routeinternetpermitnode1 if-matchacl3000
applyip-addressnext-hoptrack1
policy-based-routeinternetpermitnode2 if-matchacl3001
applyip-addressnext-hoptrack2
#
iproute-statictrack1
iproute-statictrack2
iproute-static
#
track1bfdechointerfaceEthernet0/1/1remoteiplocalip
track2bfdechointerfaceEthernet0/1/2remoteiplocalip
?
配置案例
双WAN接入路由配置
目前越来越多的企业和网吧采用双WAN上行接入的方式,这种组网方式既可以实现链路的负载分担又可以实现链路的动态备份,受到用户的普遍欢迎。下面分别介绍不同双WAN接入方式下路由的优化配置方法。
同运营商双WAN接入
1.
双以太网链路接入
1)
MSR配置方法
对于MSR网关,可以使用策略路由和自动侦测实现负载分担和链路备份功能。同样以其中一条WAN连接地址为/24,网关为,另外一条WAN连接地址为/24,网关为,使用MSR2010做为网关设备为例,配置方法如下::
1、配置自动侦测组,对WAN连接状态进行侦测:
[H3C]nqaagentenable
[H3C]nqaentrywan11
[H3C-nqa-wan1-1]type?icmp-echo
[H3C-nqa-wan1-1-icmp-echo]destinationip
[H3C-nqa-wan1-1-icmp-echo]next-hop?
[H3C-nqa-wan1-1-icmp-echo]probecount3
[H3C-nqa-wan1-1-icmp-echo]probetimeout1000
[H3C-nqa-wan1-1-icmp-echo]frequency?10000
[H3C-nqa-wan1-1-icmp-echo]reaction1checked-elementprobe-failthreshold-typeconsecutive6action-typetrigger-only [H3C]nqaentrywan21
[H3C-nqa-wan2-1]type?icmp-echo
[H3C-nqa-wan2-1-icmp-echo]destinationip
[H3C-nqa-wan2-1-icmp-echo]next-hop?
[H3C-nqa-wan2-1-icmp-echo]frequency?10000
[H3C-nqa-wan2-1-icmp-echo]probecount3
[H3C-nqa-wan2-1-icmp-echo]probetimeout1000
[H3C-nqa-wan2-1-icmp-echo]reaction1checked-elementprobe-failthreshold-typeconsecutive6action-typetrigger-only [H3C-nqa-wan2-1-icmp-echo]quit
[H3C]nqaschedulewan11start-timenowlifetimeforever
[H3C]nqaschedulewan21start-timenowlifetimeforever
[H3C]track1nqaentrywan11reaction1
[H3C]track2nqaentrywan21reaction1
2、配置ACL,对业务流量进行划分,以根据内网主机单双号进行划分为例:
[H3C]aclnumber3200
[H3C-acl-adv-3200]rule0permitipsource
[H3C-acl-adv-3200]rule1000denyip
[H3C-acl-adv-3200]quit
[H3C]aclnumber3201
[H3C-acl-adv-3201]rule0permitipsource
[H3C-acl-adv-3201]rule1000denyip
3、配置策略路由,定义流量转发规则,以双号主机走WAN1,单号主机走WAN2为例:
[H3C]policy-based-routewanpermitnode1
[H3C-pbr-wan-1]if-matchacl3200
[H3C-pbr-wan-1]applyip-addressnext-hoptrack1
[H3C-pbr-wan-1]quit
[H3C]policy-based-routewanpermitnode2
[H3C-pbr-wan-2]if-matchacl3201
[H3C-pbr-wan-2]applyip-addressnext-hoptrack2
4、在LAN口启用策略路由转发:
[H3C]interfaceVlan-interface1
[H3C-Vlan-interface1]ippolicy-based-routewan
5、配置默认路由,当任意WAN链路出现故障时,流量可以在另外一条链路上进行转发:
[H3C]iproute-statictrack1preference60
[H3C]iproute-statictrack2preference100
2)
基于用户负载分担配置方法
MSR5006支持基于用户负载分担特性,可以根据接口带宽将流量动态进行负载分担。配合自动侦测特性可同时实现链路备份的功能,当一条链路出现故障时,流量自动转发到另外一条链路上。以其中一条WAN连接地址为/24,网关为,另外一条WAN连接地址为/24,网关为为例,配置方法如下:
1、自动侦测的配置请参考上述说明:
2、配置到两个WAN接口的静态默认路由,并管理自动侦测组:
3、启用基于用户负载分担功能:
ipuser-based-sharingenable
ipuser-based-sharingroute
4、配置WAN口的负载分担带宽(两个WAN接口负载分担带宽配置符合一定比例即可,不需要与实际申请的物理带宽一致):
#
interface?Ethernet0/0
portlink-moderoute
nat?outbound
ipaddress
load-bandwidth?1000
#
2.
以太网链路+PPPoE链路接入
1)
MSR配置方法
与以太网链路接入方式配置相似,只有部分地方需要进行调整。同样以其中一条WAN连接地址为/24,网关为,另外一条WAN连接为PPPoE链路,使用MSR2010做为网关设备为例,配置方法如下:
1、配置自动侦测组,对WAN连接状态进行侦测:
[H3C]nqaagentenable
[H3C]nqaentrywan11
[H3C-nqa-wan1-1]type?icmp-echo
[H3C-nqa-wan1-1-icmp-echo]destinationip
[H3C-nqa-wan1-1-icmp-echo]next-hop?
[H3C-nqa-wan1-1-icmp-echo]probecount5
[H3C-nqa-wan1-1-icmp-echo]probetimeout1000
[H3C-nqa-wan1-1-icmp-echo]frequency?10000
[H3C-nqa-wan1-1-icmp-echo]reaction1checked-elementprobe-failthreshold-typeconsecutive6action-typetrigger-only
[H3C]nqaschedulewan11start-timenowlifetimeforever
[H3C]track1nqaentrywan11reaction1
2、配置ACL,对业务流量进行划分,以根据内网主机单双号进行划分为例:
[H3C]aclnumber3200
[H3C-acl-adv-3200]rule0permitipsource
[H3C-acl-adv-3200]rule1000denyip
[H3C-acl-adv-3200]quit
[H3C]aclnumber3201
[H3C-acl-adv-3201]rule0permitipsource
[H3C-acl-adv-3201]rule1000denyip
3、配置策略路由,定义流量转发规则,以双号主机走WAN1,单号主机走WAN2为例:
[H3C]policy-based-routewanpermitnode1
[H3C-pbr-wan-1]if-matchacl3200
[H3C-pbr-wan-1]applyip-addressnext-hoptrack1
[H3C-pbr-wan-1]quit
[H3C]policy-based-routewanpermitnode2
[H3C-pbr-wan-2]if-matchacl3201
[H3C-pbr-wan-2]applyoutput-interfacedialer0
4、在LAN口启用策略路由转发:
[H3C]interfaceVlan-interface1
[H3C-Vlan-interface1]ippolicy-based-routewan
5、配置默认路由,当任意WAN链路出现故障时,流量可以在另外一条链路上进行转发:
[H3C]iproute-statictrack1preference60
[H3C]iproute-staticdialer0preference100
注:由于早期版本MSR系列网关策略路由、快速转发和PPPoE拨号结合存在问题(此问题在R1618P11和E1711后的版本解决),当WAN连接为PPPoE连接时,使用策略路由需要关闭vlan接口的快转功能,如下操作:
[H3C]interfaceVlan-interface1
[H3C-Vlan-interface1]undoipfast-forwarding
电信网通双WAN接入
这是目前新建网络中最流行的组网方式,用户分别向电信和网通各申请一条接入链路,配置路由使客户机访问电信服务器走电信链路,访问网通的服务器走网通链路,可以大大提高很多网络应用的访问速度,同时两条链路互为备份,也提高了网络的可靠性。配置方法如下:
1)
MSR配置方法
以其中电信WAN连接地址为/24,网关为,另外网通WAN连接地址为/24,网关为为例,配置方法如下:
1、配置自动侦测组,对WAN连接状态进行侦测:
[H3C]nqaagentenable
[H3C]nqaentrywan11
[H3C-nqa-wan1-1]type?icmp-echo
[H3C-nqa-wan1-1-icmp-echo]destinationip
[H3C-nqa-wan1-1-icmp-echo]next-hop?
[H3C-nqa-wan1-1-icmp-echo]probecount5
[H3C-nqa-wan1-1-icmp-echo]probetimeout1000
[H3C-nqa-wan1-1-icmp-echo]frequency?10000
[H3C-nqa-wan1-1-icmp-echo]reaction1checked-elementprobe-failthreshold-typeconsecutive6action-typetrigger-only
[H3C]nqaentrywan21
[H3C-nqa-wan2-1]type?icmp-echo
[H3C-nqa-wan2-1-icmp-echo]destinationip
[H3C-nqa-wan2-1-icmp-echo]next-hop?
[H3C-nqa-wan2-1-icmp-echo]frequency?10000
[H3C-nqa-wan2-1-icmp-echo]probecount3
[H3C-nqa-wan2-1-icmp-echo]probetimeout1000
[H3C-nqa-wan2-1-icmp-echo]reaction1checked-elementprobe-failthreshold-typeconsecutive6action-typetrigger-only
[H3C-nqa-wan2-1-icmp-echo]quit
[H3C]nqaschedulewan11start-timenowlifetimeforever
[H3C]nqaschedulewan21start-timenowlifetimeforever
[H3C]track1nqaentrywan11reaction1
[H3C]track2nqaentrywan21reaction1
2、配置默认路由,当任意WAN链路出现故障时,流量可以在另外一条链路上进行转发:
[H3C]iproute-statictrack1preference60
[H3C]iproute-statictrack2preference100
3、配置网通路由表(由于网通路由表有500条左右,以附件的形式给出):
注:如果电信或者网通链路为PPPoE链路的话,只需要修改路由相应的下一跳为Dialer0即可,此时不需要与自动侦测关联。
cisco双出口路由设置
目的:模拟拥有双出口链路情况下基于原地址策略路由功能,实现不同原内部地址从不同出口对外部网络的访问,由于多数实际情况下路由器在外部端口使用NAT对内网地址进行翻译,所以本试验也使用双NAT对内部地址进行翻译,实现通过多ISP访问Internet功能。 环境描述:使用设备为Cisco2621XM + NE-1E模块,该配置拥有两个FastEthernet以及一个Ethernet端口。 现使用Ethernet 1/0 端口连接内部局域网,模拟内部拥有100.100.23.0 255.255.0.0 与100.100.24.0 255.255.0.0 两组客户机情况下基于原地址的策略路由。 Fastethernet 0/0 模拟第一个ISP接入端口,Fastethernet 0/1模拟第二个ISP 接入端口,地址分别为 Fastethernet 0/0 的ip地址192.168.1.2 255.255.255.0 对端ISP地址192.168.1.1 255.255.255.0 Fastethernet 0/1 的ip地址192.168.2.2 255.255.255.0 对端ISP地址192.168.2.1 255.255.255.0 通过策略路由后对不同原地址数据流量进行分流,使得不同原地址主机通过不同ISP接口访问Internet,并为不同原地址主机同不同NAT地址进行转换。 version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router ! ! ip subnet-zero !
H3C双线出口配置
H3C 双互联网接入负载分担及备份【解决方案及配置实例】 # version 5.20, Alpha 1011 # sysname H3C # bfd echo-source-ip 1.1.1.1 # acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 rule 0 permit ip source 192.168.2.0 0.0.0.255 # interface Ethernet0/1/0 port link-mode route ip address 192.168.100.254 255.255.255.0 ip policy-based-route internet # interface Ethernet0/1/1 port link-mode route ip address 10.10.10.1 255.255.255.0 # interface Ethernet0/1/2 port link-mode route ip address 10.10.20.1 255.255.255.0 # policy-based-route internet permit node 1 if-match acl 3000 apply ip-address next-hop 10.10.10.254 track 1
policy-based-route internet permit node 2 if-match acl 3001 apply ip-address next-hop 10.10.20.254 track 2 # ip route-static 0.0.0.0 0.0.0.0 10.10.10.254 track 1 ip route-static 0.0.0.0 0.0.0.0 10.10.20.254 track 2 ip route-static 192.168.0.0 255.255.0.0 192.168.100.1 # track 1 bfd echo interface Ethernet0/1/1 remote ip 10.10.10.254 loca l ip 10.10.10.1 track 2 bfd echo interface Ethernet0/1/2 remote ip 10.10.20.254 loca l ip 10.10.20.1 配置案例
联想网御PowerV系列配置案例集9(双出口端口映射配置案例)
9.1网络需求 某企业网络接入联通,电信两个运营商,要将内网web 服务器(192.168.1.11 ) 的web 端口映射到公网。为了提高互联网访问速度,实现电信用户访问电信接口 地址,联通用户访问联通接口地址进行访问 9.2网络拓扑 9.3配置流程 配置端口映射策略,将内网服务器映射到公网 配置安全策略,允许外网用户访问内网 9.4配置步骤 (1) 配置网络连通性 保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通 联通 警理員 电信 UJLQ 用户 用户 (1) 配置网络联通性 定义IP 地址对象、 开放端口对象 Internet 网御防火墙 交掬机 Internet
(2)定义IP地址对象、开放端口对象 在【防火墙】--【地址】--【地址】定义内网服务器地址。此处掩码必须配255.255.255.255 L nJ ■ an* 在【防火墙】--【服务】--【基本服务】定义开放的端口号 Infm 注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口(3)配置端口映射规则 在【防火墙】--【策略】--【NAT策略】--选择端口映射 ■IM I ■BUM
公开地址:需要映射的外网口地址 (必须为物理接口或者别名设备地址) 拨号用户选择拨号获取到的公网地址即可 内部地址:在地址列表里定义的服务器地址 对外服务:需要对外开放的端口,此处选择 web 端口 注:系统预定义大量常用端口,可以直接使用 对内服务:内网服务器需要开放的端口,此处选择 web 端口 注:对内服务、对外服务可以不一致,即对外服务为 8080,对内服 务可以为80 * Rt -NML ■窗Hi ■马 ■纠删 -H*lMt ? b!h?? -RMtfi 肿讯 a^RQ 9K3 ■毗 I FWWV Hit 首初 1 SMI9 口
飞塔防火墙双互联网出口配置实例
量配置成防火墙的网关(请先确认此网关允许被ping,在拨号环境中同时确认网关地址不会由于客户端地址改变而发生改变)。 3.3 配置相关防火墙策略 需要同时配置相关的防火墙策略来允许从内网分别到两个不同的出网口,例如,出口是WAN1和WAN2,内网是Internal,那么需要同时配置Internal->WAN1和Internal->WAN2的出网防火墙策略以保证无论是WAN1还是WAN2启用防火墙策略都是合理的。 如果觉得这样配置的防火墙策略数量太多了的话,有另一个变通的方法就是可以新建一个防火墙区域,同时把WAN1和WAN2这两个接口包含起来比如说名字是WAN,那么这样只需要设置从Internal->WAN的防火墙策略就可以了。 4.情况二,双链路没有链路备份功能但具有负载均衡功能 在网络出口连通性可以保证的前提下或者无须线路热备份时或者出口用途不是完全一样的时候,可以配置FortiGate为这种模式工作,这种情况下配置如下两个步骤: 4.1 路由 可以配置一条默认的出网路由。 同时配置相关的策略路由以设置某些符合指定条件的数据流从另一个出口出去。 4.2 防火墙策略 和情况一类似,需要配置相关的防火墙策略以允许相关的数据流可以正常的通过防火墙。 5.情况三,双链路同时具有链路备份和负载均衡功能 就是在两个出口都正常工作的情况下FortiGate可以把从内网出去的数据流按照特定的算法分流到两个不同的出口;当其中的某一个出口失效的时候,FortiGate又可以保证让所有的数据流可以从正常工作的出口出网。这样一来,就同时达到了链路热备份和负载均衡的功能。 具体的配置步骤如下:
H3C双线出口配置
双互联网接入负载分担及备份【解决方案及配置实例】H3C # version 5.20, Alpha 1011 # sysname H3C # bfd echo-source-ip 1.1.1.1 # acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 rule 0 permit ip source 192.168.2.0 0.0.0.255 # interface Ethernet0/1/0 port link-mode route ip address 192.168.100.254 255.255.255.0 ip policy-based-route internet # interface Ethernet0/1/1 port link-mode route ip address 10.10.10.1 255.255.255.0 # interface Ethernet0/1/2 port link-mode route ip address 10.10.20.1 255.255.255.0 # policy-based-route internet permit node 1 if-match acl 3000 apply ip-address next-hop 10.10.10.254 track 1. policy-based-route internet permit node 2 if-match acl 3001
apply ip-address next-hop 10.10.20.254 track 2 # ip route-static 0.0.0.0 0.0.0.0 10.10.10.254 track 1 ip route-static 0.0.0.0 0.0.0.0 10.10.20.254 track 2 ip route-static 192.168.0.0 255.255.0.0 192.168.100.1 # track 1 bfd echo interface Ethernet0/1/1 remote ip 10.10.10.254 local ip 10.10.10.1 track 2 bfd echo interface Ethernet0/1/2 remote ip 10.10.20.254 local ip 10.10.20.1 配置案例 1.10 双WAN接入路由配置 目前越来越多的企业和网吧采用双WAN上行接入的方式,这种组网方式既可以实现链路的负载分担又可以实现链路的动态备份,受到用户的普遍欢迎。下面分别介绍不同双WAN接入方式下路由的优化配置方法。 1.10.1 同运营商双WAN接入 1. 双以太网链路接入 1) MSR配置方法 对于MSR网关,可以使用策略路由和自动侦测实现负载分担和链路备份功能。同样以其中一条WAN连接地址为142.1.1.2/24,网关为142.1.1.1,另外一条WAN连接地址为162.1.1.2/24,网关为162.1.1.1,使用MSR2010做为网关设备为例,配置方法如下:: 1、配置自动侦测组,对WAN连接状态进行侦测: [H3C]nqa agent enable [H3C]nqa entry wan1 1 [H3C-nqa-wan1-1]type icmp-echo [H3C-nqa-wan1-1-icmp-echo]destination ip 142.1.1.1 [H3C-nqa-wan1-1-icmp-echo]next-hop 142.1.1.1 [H3C-nqa-wan1-1-icmp-echo]probe count 3 [H3C-nqa-wan1-1-icmp-echo]probe timeout 1000 [H3C-nqa-wan1-1-icmp-echo]frequency 10000 [H3C-nqa-wan1-1-icmp-echo]reaction 1 checked-element probe-fail threshold-type consecutive 6 action-type trigger-only [H3C]nqa entry wan2 1 [H3C-nqa-wan2-1]type icmp-echo [H3C-nqa-wan2-1-icmp-echo]destination ip 162.1.1.1 [H3C-nqa-wan2-1-icmp-echo]next-hop 162.1.1.1 [H3C-nqa-wan2-1-icmp-echo]frequency 10000 [H3C-nqa-wan2-1-icmp-echo]probe count 3 [H3C-nqa-wan2-1-icmp-echo]probe timeout 1000 [H3C-nqa-wan2-1-icmp-echo]reaction 1 checked-element probe-fail threshold-type consecutive 6 action-type trigger-only [H3C-nqa-wan2-1-icmp-echo]quit [H3C]nqa schedule wan1 1 start-time now lifetime forever
配置NAT Server双出口举例
1配置NAT Server双出口举例 本例给出一个同时接入两个运营商网络的企业配置内部服务器的案例。这个企业从每个运营商处都获取到了一个公网IP地址,为了保证所有用户的访问速度,需要让不同运营商的用户通过访问相应的运营商的IP来访问公司提供的服务,而不需要经过运营商之间的中转。 组网需求 如图1所示,某公司内部网络通过SRG与两个运营商网络连接。 公司内网有一台FTP Server同时对两个运营商网络提供服务器,其真实IP是10.1.1.2。ISP1网络中的用户可以通过1.1.1.2访问FTP Server,ISP2网络中的用户可以通过2.2.2.2访问FTP Server。 要实现这一需求,只要将两个运营商网络划入不同的安全区域,使用nat server的zone参数对不同的安全区域发布不同的公网IP即可。 图1 配置多对一的内部服务器组网图
操作步骤 1.创建安全区域。 2.
12.[SRG] interface GigabitEthernet 0/0/2 13.[SRG-GigabitEthernet0/0/2] ip address 10.1.1.1 24 14.[SRG-GigabitEthernet0/0/2] quit 15.[SRG] interface GigabitEthernet 0/0/3 16.[SRG-GigabitEthernet0/0/3] ip address 1.1.1.1 24 17.[SRG-GigabitEthernet0/0/3] quit 18.[SRG] interface GigabitEthernet 5/0/0 19.[SRG-GigabitEthernet5/0/0] ip address 2.2.2.1 24 20.[SRG-GigabitEthernet5/0/0] quit 21.[SRG] firewall zone dmz 22.[SRG-zone-dmz] add interface GigabitEthernet 0/0/2 23.[SRG-zone-dmz] quit 24.[SRG] firewall zone ISP1 25.[SRG-zone-isp1] add interface GigabitEthernet 0/0/3 26.[SRG-zone-isp1] quit 27.[SRG] firewall zone ISP2 28.[SRG-zone-isp2] add interface GigabitEthernet 5/0/0 29.[SRG-zone-isp2] quit 30.配置内部服务器,对不同的安全区域发布不同的公网IP地址。 a.创建两台内网服务器的公网IP与私网IP的映射关系。 b.[SRG] nat server zone isp1 protocol tcp global 1.1.1.2 ftp inside 10.1.1.2 ftp c.[SRG] nat server zone isp2 protocol tcp global 2.2.2.2 ftp inside 10.1.1.2 ftp d.在ISP1、ISP2与DMZ的域间配置NAT ALG,使服务器可以正常对外提供FTP服 务。 e.[SRG] firewall interzone dmz isp1 f.[SRG-interzone-dmz-isp1] detect ftp
HC双线出口配置精编版
H C双线出口配置 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
H3C双互联网接入负载分担及备份【解决方案及配置实例】 # version5.20,Alpha1011 # sysnameH3C # # aclnumber3000 aclnumber3001 # interface?Ethernet0/1/0 portlink-moderoute ippolicy-based-routeinternet
# interface?Ethernet0/1/1 portlink-moderoute # interface?Ethernet0/1/2 portlink-moderoute # policy-based-routeinternetpermitnode1 if-matchacl3000 policy-based-routeinternetpermitnode2 if-matchacl3001 # # track2bfdechointerfaceEthernet0/1/2 配置案例 1.10?双WAN接入路由配置 目前越来越多的企业和网吧采用双WAN上行接入的方式,这种组网方式既可以实现链路的负载分担又可以实现链路的动态备份,受到用户的普遍欢迎。下面分别介绍不同双WAN接入方式下路由的优化配置方法。1.10.1?同运营商双WAN接入 1.
双以太网链路接入 1) MSR配置方法 对于MSR网关,可以使用策略路由和自动侦测实现负载分担和链路备份功能。同样以其中一条WAN连接地址为,网关为,另外一条WAN连接地址为,网关为,使用MSR2010做为网关设备为例,配置方法如下::1、配置自动侦测组,对WAN连接状态进行侦测: [H3C]nqaagentenable [H3C]nqaentrywan11 [H3C-nqa-wan1-1]type?icmp-echo [H3C-nqa-wan1-1-icmp-echo]destina [H3C-nqa-wan1-1-icmp-echo]probecount3 [H3C-nqa-wan1-1-icmp-echo]probetimeout1000 [H3C-nqa-wan1-1-icmp-echo]frequency?10000 [H3C-nqa-wan1-1-icmp-echo]reaction1checked-elementprobe-failthreshold-typeconsecutive6action-typetrigger-only [H3C]nqaentrywan21 [H3C-nqa-wan2-1]type?icmp-echo [H3C-nqa-wan2-1-icmp-echo]frequency?10000
H3C路由器双出口NAT服务器的典型配置
H3C MSR路由器双出口NAT服务器的典型配置 一、需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.sodocs.net/doc/bd935743.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、拓扑图: 三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。 MSR关键配置(路由部分配置略) # //地址池0用于访问电信的NAT nat address-group 0 202.2.2.50 202.2.2.100 //地址池1用于访问教育网的NAT nat address-group 1 211.1.1.50 211.1.1.100 //静态NAT用于外部访问内部服务器https://www.sodocs.net/doc/bd935743.html, nat static 192.168.34.55 211.1.1.4 # //ACL 2000用于内网访问教育网和电信的NAT,允许192.168.0.0/0的源 acl number 2000 description "NAT" rule 10 permit source 192.168.0.0 0.0.255.255 //ACL 2222用于策略路由的允许节点,即内部服务器往外发的HTTP从G5/1出去 acl number 2222 description "policy-based-route permit node" rule 0 permit source 192.168.34.55 0 # //用于内部主机访问211.1.1.4的NAT映射 acl number 3000 description "192.168.0.0/24 access 211.1.1.4" rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.34.55 0 //ACL 3333用于策略路由拒绝节点,即内部服务器返回内部主机的不需要被策略 acl number 3333 description "policy-based-route deny node" rule 0 permit ip source 192.168.34.55 0 destination 192.168.0.0 0.0.255.255 # interface GigabitEthernet0/0
H3C电信网通双出口配置实现负载分担
H3C电信网通双出口配置实现负载分担,实现备份功能 ...[复制链接]发表于2012-7-7 10:35 |来自51CTO网页 [只看他]楼主一组网需求: 在很多地区,网吧用户同时申请了中国电信和中国网通两条宽带接入线路,如果此时双线路采用常规的“负载均衡”方式,就会发生访问网通站点走电信线路,访问电信站点走网通线路的情况,由于当前网通和电信两个运营商之间存在着互联互通速度慢的问题,造成速度瓶颈。如何实现“访问网通站点走网通线路,访问电信站点走电信线路”呢?在AR18系列路由器上可以通过配置策略路由的方式满足以上需要。 配置步骤: 1 定义监测组,分别监测电信和网通网关 进入系统视图,创建detect-group 1,监测电信网关:
H3C SecPath防火墙在双出口下通过策略路由实现负载分担的典型配置
SecPath安全产品在双出口下通过策略路由实现 负载分担的典型配置 一、组网需求: SecPath1000F防火墙部署在出口,有电信和网通两个出口,要求PC1通过电信的出口,PC2通过网通的出口,在任意一个出口出现故障的时候,需要能够自动切换到另外一个出口。 二、组网图 radius scheme system # domain system # acl number 3000 //配置nat转换地址范围 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 1 permit ip source 172.16.1.0 0.0.0.255 rule 2 deny ip acl number 3001 //配置策略路由的ACL rule 0 permit ip source 172.16.1.0 0.0.0.255 rule 1 deny ip # interface Aux0 async mode flow # interface GigabitEthernet0/0 ip address 202.38.1.1 255.255.255.0
精选文库 nat outbound 3000 # interface GigabitEthernet0/1 ip address 61.1.1.1 255.255.255.0 nat outbound 3000 # interface GigabitEthernet1/0 ip address 10.0.0.1 255.255.255.0 ip policy route-policy test //应用策略路由 # interface GigabitEthernet1/1 # interface Encrypt2/0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust add interface GigabitEthernet1/0 set priority 85 # firewall zone untrust add interface GigabitEthernet0/0 add interface GigabitEthernet0/1 set priority 5 # firewall zone DMZ set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DM # firewall interzone trust untrust # firewall interzone trust DMZ # firewall interzone DMZ untrust # route-policy test permit node 10 //配置策略路由
校园网双出口方案
实例:校园网双出口的设计与配置实现 校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。初建时,一般都是租用一条DDN线路连接到中国教育和科研计算机网(CERNET)。由于中国教育科研网与一般的电信级运营网络不同,没有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原有单一的CERNET出口已不能满足,有必要进一步扩大带宽,通过当地网络服务提供商(ISP)开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问INTERNET资源的速度。 各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资源和mail流量走教育网出口,对于用户上网来说,走第二出口。这样,一方面提高了校园网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问题,同时,有效减少教育网的国际流量,降低网络运行费用。 第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL等多种技术,具体可以根据需求选择,在本文中不予以讨论。 一、双出口的解决方案 我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。对该方案,我们有以下几方面的要求: (1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网; (2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。 (3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。 (4)校园网络中的邮件走CERNET线路。 (5)尽可能的节约校园网调整、改造的投资。 校园网原出口结构和双出口解决方案结构如图1所示: [attach]276901[/attach] 图1 从图1中可以看到,CISCO catalyst 6509交换机是我校校园网的核心交换机,ssr1是教育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所有流量经ssr2到电信出口。同时,在ssr2上使用了NAT技术,使有限的电信IP地址可以满足大量校园网并发访问的需求,同时也相应提高了安全系数。 二、涉及的网络技术
华为+电信网通双出口配置
H3C 电信网通双出口配置 一 组网需求: 在很多地区,网吧用户同时申请了中国电信和中国网通两条宽带接入线路,如果此时双线路采用常规的“负载均衡”方式,就会发生访问网通站点走电信线路,访问电信站点走网通线路的情况,由于当前网通和电信两个运营商之间存在着互联互通速度慢的问题,造成速度瓶颈。如何实现“访问网通站点走网通线路,访问电信站点走电信线路”呢?在AR18系列路由器上可以通过配置策略路由的方式满足以上需要。 二 组网图 三 配置步骤: 1 定义监测组,分别监测电信和网通网关 进入系统视图,创建detect-group 1,监测电信网关:
创建detect-group 1,监测网通网关: [Quidway]detect-group 2 [Quidway-detect-group-2]detect-list 1 ip address 202.1.1.1 [Quidway-detect-group-2]quit [Quidway] 注:以上以地址61.1.1.1最为电信网关地址,地址202.1.1.1为网通网关地址为例,可以根据实际组网情况修改。 2 配置两条默认路由互为备份,优先走电信线路: [Quidway]ip route-static 0.0.0.0 0.0.0.0 61.1.1.1 preference 60 detect-group 1 [Quidway]ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 100 detect-group 2 注:以上以地址61.1.1.1最为电信网关地址,地址202.1.1.1为网通网关地址为例,可以根据实际组网情况修改。 3 配置静态路由与监测组关联,使访问网通流量优先走网通线路: 以下配置较多,配置过程中可以用实际网通网关地址替换地址202.1.1.1后直接复制粘贴: ip route-static 58.16.0.0 255.248.0.0 202.1.1.1 preference 60 detect-group 2 ip route-static 58.100.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2 ip route-static 58.240.0.0 255.240.0.0 202.1.1.1 preference 60 detect-group 2 ip route-static 60.8.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2 ip route-static 60.12.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2 ip route-static 60.13.0.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2 ip route-static 60.13.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2 ip route-static 60.16.0.0 255.240.0.0 202.1.1.1 preference 60 detect-group 2 ip route-static 60.24.0.0 255.248.0.0 202.1.1.1 preference 60 detect-group 2 ip route-static 60.31.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2 ip route-static 60.208.0.0 255.248.0.0 202.1.1.1 preference 60 detect-group 2
双出口路由配置实例
双出口路由配置实例 ZDNet 网络频道频道更新时间:2008-05-08 作者:中国IT实验室来源:中国IT实验室本文关键词:如何设置路由器路由器安装路由器设置路由器 双出口路由配置实例 拓扑: R1 R1# show running-config Building configuration...
! interface Ethernet0/0 ip address 100.100.100.1 255.255.255.0 ip policy route-map blah ! interface Serial1/0 ip address 10.10.10.1 255.255.255.0 ! interface Serial2/0 ip address 20.20.20.1 255.255.255.0 ! router ospf 1 !--- OSPF is not configured on Serial1/0. log-adjacency-changes network 20.20.20.0 0.0.0.255 area 0 network 100.100.100.0 0.0.0.255 area 0
ip classless no ip http server ! access-list 100 permit ip host 100.100.100.3 host 200.200.200.4 ! route-map blah permit 10 match ip address 100 set ip default next-hop 10.10.10.2 . . ! end R2 R2# show running-config Building configuration... .
双出口映射方案配置说明
双出口映射方案配置说明 案例背景: 随着用户对业务可靠性及冗余性的持续关注,有些用户处会有两条或多条链路接入公网,同时把内部服务器对外提供不同链路上的多个公网IP 的访问。本例将详细介绍双出口映射方案的配置及注意事项。 案例拓扑: IP Fe2远端客户端 图1—原部署拓扑图
双出口映射的方式,即需要将网通:Fe2:210.22.70.200/24以及电信: Fe3:218.249.81.200/24两个地址同时映射到服务器Server的IP:192.168.1.200/24上。但这种情况下,服务器给远程客户端回包时,不管远程客户端通过哪个入口映射进来访问服务器,防火墙看回包的源地址都是内网服务器IP:192.168.1.100,目标地址也均为远程客户端的IP。由于路由是基于IP来进行的,而回包的源目的IP都一样,这样会造成数据路由选择会从同一个出口出去。 以下我们看一下防火墙对数据包的处理流程简图,以加深理解。 注意数据包回包时从哪个接口转发出去的决定权在于路由表。 如果只设一个默认网关或静态路由为指向电信,图例中来自网通的访问请求,由于防火墙默认网关或静态路由指向电信的原因,Server回应的数据包一定会从电信线路回应出去的,出现了数据包流入、流出路径不一致的问题出现。 对此问题的解决办法如下,先看改造后的拓扑图:
: 192.168.1.100/24: 192.168.1.200/24 IP Fe2远端客户端 图2—改造方案后拓扑图 注意该拓扑图最重要的变化就是在该服务器上配置了两个IP ,此方案对服务器的要求就是可以使用多个IP 地址提供相关的服务应用(如IIS 、Server-U 等等服务软件)。 双出口IP 映射最关键的问题是在回包过程的路由问题,而我们可以通过把网通出口的IP 映射到Server_IP1(网通): 192.168.1.100/24,电信出口的IP 映射到Server_IP2(电信): 192.168.1.200/24。然后设置源地址策略路由对不同的源地址选取相应的出口。 总结一下:解决该问题的关键就是通过在服务器上对应于不同的出口IP 配置不同的映射地址,并在防火墙做好相对应的映射关系,最后对回包可以根据这几个不同的源地址,进行源地址策略路由。这样我们就能够实现远端客户端的访问从哪个外网口进,就从哪个外网口出。 该方案具体配置如下: 防火墙的主要配置 a 、网络配置 b 、IP 映射规则
电信网通双出口负载均衡配置实例
电信网通双出口负载均衡配置实例!! 负载分担配置指导 定义监测组,分别监测电信和网通网关: 进入系统视图,创建detect-group 1,监测电信网关:
相关文档
- 联想网御Power V系列配置案例集10(双出口IP映射配置案例)
- 如何配置FortiGate双出口
- H3C双线出口配置
- 双出口策略路由加nat配置 (2)
- H3C路由器双出口NAT服务器的典型配置
- H3C 路由器双出口NAT服务器的典型配置
- 策略路由双出口配置实例
- 配置NAT_Server双出口举例
- H3C双线出口配置
- H3C双线出口配置
- h3c路由器双出口nat服务器的典型配置
- 双出口路由配置实例
- HC双线出口配置
- H3C电信网通双出口配置实现负载分担
- H3C双线出口配置
- H3C双线出口配置
- H3C电信网通双出口配置
- 电信网通双出口负载均衡配置实例
- H3C双线出口配置
- 飞塔防火墙双互联网出口配置实例