问题1:公司向运营商租用两条带宽,ISP1 为100M,ISP2 为50M,默认情况下园区网用户访问internet 优先走ISP1 链路,请提供解决方案。(5 分)
解答:
方案 A:通过浮动静态路由实现,具体方案如下:
在 AR3 上配置两条静态缺省路由,下一跳分别指向为 AR1 和 AR2(运营商给的公网网关地址)。配置下一跳为 AR1 的静态缺省路由的路由优先级保持为 60 不变,下一跳为 AR2 的静态缺省路由优先级为 120。此时主备链路都正常的情况下就会优选路由优先级数值低的为优选路径(即指向 ISP1 的静态路由表),此时当 AR3 接收访问 Internet 流量的时候,根据查询路由表将会优先从 ISP1 进行访问。
配置命令:
【Huawei】 ip route-static 0.0.0.0 0.0.0.0 X.X.X.X //配置指向 AR1 的缺省路由,默认路由优先级为 60 。
【Huawei】ip route-static 0.0.0.0 0.0.0.0 X.X.X.X preference 120 //配置指向 AR2 的缺省路由,路由优先级改为 120 。
方案 B:通过静态路由+PBR 方式实现,具体方案如下:
在 AR3 上配置一条静态缺省路由,指向 ISP2 设备;同时在 AR3 使用 MQC 的方式配置接口 PBR,将所有内网数据访问 Internet 的流量通过接口 PBR 全部重定向到 ISP1,此时当 AR3 从内网接口接收访问 internet 流量的时候,由于匹配接口 PBR 将会被重定向到 ISP1 进行发送。
配置命令:
① 在 AR3 上配置等价静态缺省路由
【Huawei】 ip route-static 0.0.0.0 0.0.0.0 Y.Y.Y.Y //配置指向 ISP2 的缺省路由
② 在 AR3 上配置 ACL,匹配内网访问 Internet 的流量。
【Huawei】Acl 2000
【Huawei-acl-2000】 Rule 5 permit source x.x.x.x x.x.x.x
③ 在 AR3 上使用 MQC 工具配置策略路由,并在内网接口 inbound 方向调用。
traffic classifier internet //配置流分类
if-match acl 2000
traffic behavior isp1 //配置流行为
redirect ip-nexthop X.X.X.X //X.X.X.X 为 AR1 的地址。
traffic policy PBR //配置流策略
classifier internet behavior isp1 //将流行为与流策略进行绑定
interface GigabitEthernet0/0/0 //在内网接口入方向调用
traffic-policy PBR inbound
问题2:现在 AR1 设备控制板发生了宕机,如何去实现园区网用户访问 Internet 走 ISP2 链 路(在不运行动态路由协议的情况下),请您至少提供两点解决方案。(5 分)
解答:
方案 A:出口采用浮动静态路由+Track BFD 或者 NQA 的方式实现,具体如下:
在 AR3 上配置两条静态缺省路由指向两个 ISP 设备,将指向 AR1 的静态路由优先级调高(数值<60),此时 AR3 会优先通过 AR1 去访问外网。当 AR1 链路 down 掉、设备故障等情况发生时,这条静态路由就会消失(下一跳不可达不进路由表),之前没有优选的下一跳指向 AR2 的静态路由就会浮现出来,指导报文转发。使用 BFD 技术与静态路由进行联动,实现对链路故障的快速检测,加速路由切换,尽快恢复网络联通。BFD 需要两端设备均支持 BFD 技术,如果对端设备不支持,则可以使用 BFD 的单臂回声来实现链路检测,BFD 可以实现 1秒内的快速切换。也可以使用 NQA 技术与静态路由联动,当 NQA 使用 ICMP 探测 AR1 设备而没有得到响应时,进行路由切换,尽快恢复网络联通。NQA 也能提供秒级的切换,切换时间比 BFD 稍长,优点是无需对端设备支持 NQA 技术。
配置命令:
① 静态路由+BFD 单臂回声配置命令:
[Router] bfd
[Router-bfd] quit
[Router] bfd isp1 bind peer-ip X.X.X.X interface GigabitEthernet0/0/0 one-arm-echo
[Router-bfd-session-isp1] discriminator local 20
[Router-bfd-session-isp1] min-echo-rx-interval 100
[Router-bfd-session-isp1] commit
[Router-bfd-session-isp1] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 X.X.X.X pre 50 track bfd-session isp1 //X 为 AR1 的接口地址
[Router] ip route-static 0.0.0.0 0.0.0.0 Y.Y.Y.Y //Y 为 AR2 的接口地址
② 静态路由+NQA 方式配置命令:
[Router] nqa test-instance aa bb
[Router-nqa-aa-bb] test-type icmp
[Router-nqa-aa-bb] destination-address ipv4 X.X.X.X //X 为 AR1 的接口地址
[Router-nqa-aa-bb] frequency 5
[Router-nqa-aa-bb] probe-count 1
[Router-nqa-aa-bb] start now
[Router-nqa-aa-bb] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 X.X.X.X pre 50 track nqa aa bb isp1 //X 为AR1 的接口地址
[Router] ip route-static 0.0.0.0 0.0.0.0 Y.Y.Y.Y //Y 为 AR2 的接口地址
方案 B:采用接口 PBR 联动 NQA 的方式实现,具体如下:
在 AR3 上配置接口策略路由将内网访问 internet 的流量重定向到 ISP1,由于策略路由优先于普通路由表,因此下行节点访问 internet 时,会优先从 ISP1 走。出于可靠性,故障能快速恢复的考虑,此时可以采用策略路由与 NQA 联动解决这个问题。当 NQA 使用 ICMP 探测到 AR1 设备无法正常响应后,就会通知策略路由模块当前对应的该条策略路由失效,快速的切换到另一条策略路由或者使用 IP 路由表进行数据转发,以此快速恢复网络连通性。
配置命令:
[Router] nqa test-instance aa bb
[Router-nqa-aa-bb] test-type icmp
[Router-nqa-aa-bb] destination-address ipv4 X.X.X.X //X 为 AR1 的接口地址
[Router-nqa-aa-bb] frequency 5
[Router-nqa-aa-bb] probe-count 1
[Router-nqa-aa-bb] start now
[Router-nqa-aa-bb] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 X.X.X.X track nqa aa bb //X 为 AR1 的接口地址
[Router] acl 2000
[Router-acl-basic-2000] Rule 5 permit source X.X.X.X //匹配内网访问 Internet 的流量。
[Router] traffic classifier internet //配置流分类
[Router-classifier-internet] if-match acl 2000
[Router] traffic behavior isp1 //配置流行为
[Router-behavior-isp1] redirect ip-nexthop X.X.X.X track nqa aa bb
[Router] traffic policy pbr //配置流策略
[Router-policy-pbr] classifier internet behavior isp1
[Router] interface GigabitEthernet X/X/X //在内网接口入方向调用
[Router -GigabitEthernet0/0/0] traffic-policy pbr inbound
本文暂时没有评论,来添加一个吧(●'◡'●)