运营商如何提供企业网络接入（企业网多运营商接入及配置演示）

小君 2023-03-21 06:01:54 918

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）4. 基于目的地址的运营商选择出口ISP；3. 监控外网链路网络质量，自动切换出口；Win-1和Win-2分别模拟内网2个网段用户：192.168.1.100/24、192.168.2.1/24；1. 输出口1:1流量自动负载；2. 基于源IP手动选择出口；

不仅仅是IDC，企业园区网为保证网络出口的冗余可靠性或者特殊的需求，一般会选择多运营商接入。除了专门的负载均衡设备，可以基于一些策略来实现基本的链路负载和高可用，对于网络老司机都是轻车熟路仅分享给入门的网络工程师小伙伴和需要的其他IT同行。本次基于实验由易至难来演示实际工作中用到的多ISP运营商接入的网络出口设计：

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(1)

实验拓扑

· 拓扑说明：

仅为演示多出口设计，为简化配置路由器核心交换机分别使用一台，多设备冗余可参考之前分享的文章：（https://www.toutiao.com/i6686644512095207943/ 园区网设计）

Router为园区网出口路由器接入运营商，地址分别为：CT:1.100.1.2/29、CU：2.200.1.2 ；

Win-1和Win-2分别模拟内网2个网段用户：192.168.1.100/24、192.168.2.1/24；

· 设计思路：

1. 输出口1:1流量自动负载；

2. 基于源IP手动选择出口；

3. 监控外网链路网络质量，自动切换出口；

4. 基于目的地址的运营商选择出口ISP；

一、简单的1:1流量自动负载：适用于出口带宽大小基本一致，用户对运营商无特殊要求的设计：

CoreSwitch：

//配置Client所需DHCP Server ip dhcp pool VLAN100 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 114.114.114.114 ! ip dhcp pool VLAN200 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 114.114.114.114 //起OSPF进程并将与router的接口以及内网的vlan宣告进OSPF，以便Router能基于IGP获取内网回程路由： router ospf 1 router-id 10.1.1.2 //配置网关地址 interface Vlan100 ip address 192.168.1.1 255.255.255.0 ip ospf 1 area 0 ! interface Vlan200 ip address 192.168.2.1 255.255.255.0 ip ospf 1 are 0 interface Ethernet0/0 switchport trunk encapsulation dot1q switchport mode trunk duplex auto ! interface Ethernet0/1 no switchport ip address 10.1.1.2 255.255.255.252 ip ospf 1 area 0 duplex auto

Win1及Win2自动获取到的地址：

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(2)

Win-1 DHCP地址

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(3)

Win-2 DCHP地址

Router：

/匹配需要做NAT的内网地址 ip access extend PAT 10 permit ip 192.168.0.0 0.0.255.255 any ip access extend PAT-CT 10 permit ip 192.168.0.0 0.0.255.255 any //以上ACL的内网地址基于e0/1、e0/2做PAT ip nat inside source list PAT interface e 0/2 overload ip nat inside source list PAT-CT interface Ethernet0/1 overload //两条默认路由负载均衡 ip route 0.0.0.0 0.0.0.0 1.100.1.1 ip route 0.0.0.0 0.0.0.0 2.200.1.1 //PAT的内网接口 interface Ethernet0/0 ip address 10.1.1.1 255.255.255.252 ip nat inside ip virtual-reassembly in ip ospf 1 area 0 ! //PAT的外网接口 interface Ethernet0/1 ip address 1.100.1.2 255.255.255.248 ip nat outside ip virtual-reassembly in ! interface Ethernet0/2 ip address 2.200.1.2 255.255.255.248 ip nat outside ip virtual-reassembly in

二、基于源IP选择出口ISP，以上是最简单的最缺乏控制的双出口方式，当两条出口带宽大小不同，或者用户对运营商有要求，则需要使用route-map来详细的分流，例如：Vlan100 使用CT，Vlan200使用CU.

Router：

//匹配vlan100和vlan200的内网地址 ip access-list extended PAT-CT permit ip 192.168.1.0 0.0.0.255 any ip access-list extended PAT-CU permit ip 192.168.2.0 0.0.0.255 any ! ! //基于内网地址设置下一跳接口地址 route-map PAT-CU permit 10 match ip address PAT-CU set ip next-hop 2.200.1.1 ! route-map PAT-CT permit 10 match ip address PAT-CT set ip next-hop 1.100.1.1 ! //PAT配置 ip nat inside source route-map PAT-CT interface Ethernet0/1 overload ip nat inside source route-map PAT-CU interface Ethernet0/2 overload

可以查看NAT的转换效果：

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(4)

查看NAT

三、以上解决了对特定用户选择不同运营商的问题，但是如果某条链路出问题，无法切换到另外一条链路。需要联动SLA/NQA Track实现链路故障后的切换：

Router：

\\匹配所有内网，到两条ISP出口的PAT，方便一条ISP故障后切换能正常转换。 ip access extend NAT1 permit ip any anyip access extend NAT2 permit ip any any ip nat inside source list NAT1 interface e 0/1 overload ip nat inside source list NAT2 interface e 0/2 overload ip sla 100 //使用CT地址探测公网114.114.114.114 icmp-echo 114.114.114.114 source-ip 1.100.1.2 //探测时间 Frequency 5 //阈值，抖动可选 threshold 6000 //丢包时间可选 Timeout 5000 //启用SLA100 ip sla schedule 100 life forever start-time now ip sla 200 icmp-echo 114.114.114.114 source-ip 2.200.1.2 frequency 5 threshold 1000 timeout 5000 ip sla schedule 200 life forever start-time now //检测SLA的状态 track 100 ip sla 100 reachability track 200 ip sla 200 reachability //在入接口使用PBR，使VLAN100-CT 并基于Track去检测，如果track100正常则基于CT作为出口，如果Track100有问题，则检测track200可用性，如果可用则选用CU route-map PAT permit 10 match ip address PAT-CT set ip next-hop verify-availability 1.100.1.1 1 track 100 set ip next-hop verify-availability 2.200.1.1 2 track 200 //在入接口使用PBR，使VLAN200-CU 并基于Track去检测，如果track200正常则基于CU作为出口，如果Track200有问题，则检测track100可用性，如果可用则选用CT route-map PAT permit 20 match ip address PAT-CU set ip next-hop verify-availability 2.200.1.1 1 track 200 set ip next-hop verify-availability 1.100.1.1 2 track 100 //在入接口调用PBR Interface e0/0 ip policy route-map PAT

简单测试：

· 正常测试Win-1的路径：

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(5)

Win-1路径

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(6)

CT出口

· 关闭CT的e0/1但是Router的e0/1至CT链路正常，，Sla状态timeout，Track100检测到链路故障，Track 200 up，自动切换至CU：

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(7)

Sla状态

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(8)

Track 100 timeout

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(9)

Route-Map状态

Win-1切换至CU出口：

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(10)

Win-1测试

Router的PAT转换

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）(11)

PAT转换表

4、基于目的地址的运营商选择出口ISP，类似F5的内置地址库，首先匹配不同运营商的目的地址，基于PBR做PAT，类似方法三：

比如我们统计到：1.101.1.0/16、 1.102.1.0/16、3.101.1.0/16、96.101.1.0/16等等为电信地址，参考配置如下：

Router：

ip access-list extend CT permit 10 ip any 1.101.1.0 0.0.255.255 permit 20 ip any 1.102.1.0 0.0.255.255 permit 30 ip any 3.101.1.0 0.0.255.255 permit 40 ip any 96.101.1.0 0.0.255.255 route-map CT permit 10 match ip address CT match interface e 0/1

当然现实中电信的路由经过汇总也会在6000条以上，并且运营商每次汇总会有出入，如果想做到精确的基于目的地址的出口运营商ISP选择，还是要使用专门的负载设备，例如F5的GTM，之前在的文章F5的基本原理和配置已做介绍。https://www.toutiao.com/i6692359498197107214/

以上为常用企业网多出口的配置，仅供初学者参考，如有问题欢迎讨论。

网站首页

返回栏目

运营商如何提供企业网络接入（企业网多运营商接入及配置演示）

猜您喜欢：

相关文章