拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)
路由部署【根据需求不同,部署默认路由、浮动路由 NQA或者IP-link,策略路由】
分析:在实际工作中有多种需求
1、客户想实现电信的流量访问电信,联通的流量访问联通【这个需要高版本防火墙才支持】
2、客户想实现2个ISP被充分利用了,并且当一个ISP出向故障的时候,自动切换到另外的ISP上面。
3、客户想默认情况下走电信,但电信出现故障的时候,才走联通【或者联通走***流量,电信走ISP流量。】
具体实现
1、客户想实现电信的流量访问电信,联通的流量访问联通【这个需要高版本防火墙才支持】
说明:实现该需求,其实需要大量的路由网段,需要知道电信与联通的最新网段,然后敲入一个明细的路由到路由表中,这样来实现访问电信的走电信,访问联通的走联通,像一些小厂商的路由器默认就集成了路由表,所以可以提供这样的功能,USG目前的版本还没有集成,在下一代防火墙NGfW中,听说是集成了路由表的,而且可以实现负载均衡的情况,所以在实现该需求的时候要么知道电信 联通的明细路由,或者使用高版本【这个需要华为推出来后才可以使用】,目前是无法实现的。
2、客户想实现2个ISP被充分利用了,并且当一个ISP出向故障的时候,自动切换到另外的ISP上面。
说明:这个目前在工作中使用的方法是最多的,它主要是利用内网的网段来负载分担,比如一般的流量走电信,一半的流量走联通,然后通过NQA或者IP-lINk技术的配合来检测ISP是否正常,然后通过策略路由来分类。
2.1、策略路由实施
[USG-GW]acl number 2000
[USG-GW-acl-basic-2000]description Core-A Vrrp master to access internet
[USG-GW-acl-basic-2000]rule permit source 192.168.19.0 0.0.0.255
[USG-GW-acl-basic-2000]rule permit source 192.168.21.0 0.0.0.255
[USG-GW]acl number 2001
[USG-GW-acl-basic-2001]description Core-B vrrp master to access internet
[USG-GW-acl-basic-2001]rule permit source 192.168.20.0 0.0.0.255
说明:定义了2个ACl,该ACl的分类是根据VrrP的Master来区分的,比如Core-A上面的Master网段则定义在200里面,而Core-B的Master网段走定义在2001里面,这样的话用来匹配不同内网的流量,最终调用在策略路由中,实现效果。
[USG-GW]policy-based-route to-isp permit node 5
[USG-GW-policy-based-route-to-isp-5]if-match acl 2000
[USG-GW-policy-based-route-to-isp-5]apply ip-address next-hop 202.100.1.1
[USG-GW]policy-based-route to-isp permit node 10
[USG-GW-policy-based-route-to-isp-10]if-match acl 2001
[USG-GW-policy-based-route-to-isp-10]apply ip-address next-hop 61.128.1.1
说明:定义了2个策略路由,第一个为访问电信的,当匹配了ACl 2000的时候,则走下一跳202.100.1.1,第二个则为访问联通的,当匹配了ACl 2001的时候,则走下一跳61.128.1.1。另外这里必须写在一个策略里面,因为一个接口只能调用一个策略路由,所以这里最终调用在VLAN接口下。
[USG-GW]interface vlan 1
[USG-GW-Vlanif1]ip policy-based-route to-isp
说明:这里没有方向性的,策略路由能调用在源接口。
2.2 IP-Link技术实施
说明:其中大家觉得可以用NQA的,但是在防火墙上面NQA不支持关联路由,只能用IP-Link,而且IP-link技术有一个莫大的优势,就是可以跟 策略路由联动。
[USG-GW]ip-link check enable
[USG-GW]ip-link 1 destination 202.100.1.1 interface g0/0/1 mode icmp
[USG-GW]ip-link 2 destination 61.128.1.1 interface g0/0/2 mode icmp
说明:开启了IP-Link技术,并且定义了2个,当目的地202.100.1.1可以用ICMP测试的情况下,IP-Link1是UP的,否则为Down,当然Ip-Link效果也一样。最终关联到路由里面就行了。
可以看到现在都是UP的。
扩展应用【如果想测试Dns或者是拨号接口该怎么办】
[USG-GW]ip-link 3 destination ccieh3c.taobao.com interface g0/0/1 这种可以实现当访问该域名从G0/0/1不通的情况下,则认为该链路失效了。这种为dNS测试办法
注意需要打开dNS解析功能,与定义dNS服务器地址。dns resolve dns server x.x.x.x
[USG-GW]ip-link 3 destination ccieh3c.com mode icmp next-hop dialer ,这种就是说当是PPPOe环境的时候,可以指定下一跳为拨号接口。当然也可以 ip-link 3 destination ccieh3c.taobao.com interface dialer 0这样。Destinatio可以为IP或者域名。
2.3 默认路由定义
[USG-GW]ip route-static 0.0.0.0 0 202.100.1.1 track ip-link 1
[USG-GW]ip route-static 0.0.0.0 0 61.128.1.1 track ip-link 2
说明:定义了2条默认路由,分别指向联通电信的下一跳,注意这里是关联了IP-LINk技术的。
2.4 策略与NAT定义
策略与NAT之前已经定义完毕了,所以这里不需要重复定义。
2.5 结果验证测试【以访客厅与Boos为例。】
9.3.1 访问Internet测试【双线路访问,并且测试一边失效后的结果。】
2.5.1访客厅用户测试
已经获取到了IP地址
NAT转换条目查看
可以看到有dNS的流量,都是走的202.100.1.2,当解析到了公网地址后,然后通过转换为202.100.1.2 访问百度。
可以看到百度也打开了。
策略检查匹配项
可以看到这里是有对应匹配的。
NAT匹配项
为什么策略2可以生效呢,因为现在已经是在Action中。
可以看到ACL也有对应的匹配。
测试当dx出现故障后,能否继续访问外网。
[USG-GW]int g0/0/1
[USG-GW-GigabitEthernet0/0/1]shutdown
这里只能认为的关闭下端口,造成故障的问题。
说明下:PING 114.114.114.144是可以通信的,而8.8.8.8则不行,国内已经封闭了。
有对应的策略匹配。
策略路由与IP-Link技术匹配的时候效果
当有IP-Link技术与策略路由同时出现的时候,系统会默认的根据IP-Link检测的下一跳地址,来判断策略路由是否生效,202.100.1.1失效了,则该策略路由对应的也失效,所以这里走的不是策略路由,而是走的默认路由。
2.5.2高层部门下测试
已经获取到了对应的VLAN下的地址。
可以看到会话信息,都是通过 61.128.1.2转发的。
可以看到,现在第一个是有匹配了的,因为这个是给Boss网段用的。
策略路由调用的ACL也是有效果的。
测试断开链路,继续访问
可以看到后面的都是关于202.100.1.2的了,并不是61.128.1.2,而且访问正常。
可以看到,电信的策略有匹配项目了。
2.6 总结
关于双ISP的实施,注意几点就可以了,关于ip-link技术与策略路由的配合,另外就是需要放行的策略,与NAT的配置。注意查看匹配项来检查是否正常转换。
3、客户想默认情况下走电信,但电信出现故障的时候,才走联通【或者联通走虚拟专用网流量,电信走ISP流量。】
关于该定义的话,这里就不演示结果了,只给出思路与配置。
1、定义ip-link技术
2、直接指向一条默认路由到DX。【注意关联ip-link】
3、定义一条浮动默认路由指向联通【不需要调用ip-link,但是优先级要把DX的要大】
4、如果要实现***的流量走联通的话,指向把需要访问对方私网网段的地址直接指向联通的出接口即可。那么在加密处理的时候自然会把包引向联通的接口,然后发送给对方。
说明:这样实现的额效果就是默认情况下走电信,当ip-link技术检查到电信的链路坏了,然后默认路由消失,直接用联通的默认路由,而***因为有静态路由的存在,所以会引向联通的接口从而进行加密处理。
本文首发于公众号:网络之路博客