实战外网配置：光猫桥接+路由器PPPoE拨号+防火墙链路健康检查+负载均衡

实战外网配置：光猫桥接+路由器PPPoE拨号+防火墙链路健康检查+负载均衡

引用

CSDN

1.

https://blog.csdn.net/weixin_43075093/article/details/142145992

一、适用场景：

1. 企业规模较大时，1条公网带宽流量可能不足，需要用到多条公网出口时。
2. 企业有业务需要静态IP映射，但是因静态IP专线价格较高，所以需要拨号光纤承载较多的下行流量。
3. 当公网出口有多条链路，若从防火墙到运营商之间的其中一条故障，内网出去的流量会根据外网链路健康检查的结果，自动切换到好的链路上。
4. 多条公网出口必然要考虑到每条链路的实用性，所以要做负载均衡，让每条链路发挥它的作用，提高线路利用率。
5. 采用的方案：PPPoE光猫拨号、光猫桥接bridge模式；H3C路由器自动拨号、路由器配置静态路由；防火墙配置静态路由调用IP_Link、配置安全策略、配置IP_Link、配置健康检查、配置智能选路负载均衡。
6. 配置策略路由，验证配置结果。

二、拓扑图：

三、配置过程：（本例主要完成拓扑图中的绿色部分）

（一）配置光猫参数

1. 检查光猫到运营商之间的信号，信号正常时，光纤指示灯常亮，正常时如下图：
2. 单独连接笔记本电脑到光猫的千兆口，连接后，千兆口指示灯亮，如上图：
3. 登录到光猫
4. 配置光猫

• 查看当前的状态，点“状态”中的“网络侧信息”
• 从上图中可以看出，当前是服务接口3_INTERNET_R_VID使用的PPPoE协议，即使用光猫来完成PPPoE的拨号完成身份验证。但实际管理的过程中，并不直接登录到光猫查看状态，而且ISP运营商也有权限的限制，所以本例不采用光猫直接拨号验证身份。
• 本例采用H3C的路由器完成拨号身份验证的过程，所以配置时，让光猫以桥接的方式接入到网络当中即可，那么配置时要启用2_other_B_VID_45这一项，如下图：
• 点“网络”中的“宽带设置”，可以看到下拉列表，列表中的说明如下：
• 1_TR069_VOICE_R_VID_46：指的是使用电话线拨号，明显与我们本次实战不符，不选它。
• 2_Other_B_VID_45:指的B是Bridge桥接模式，VID_45是vlan ID号，即我们要用的项。
• 3_INTERNET_R_VID_:指的是路由模式，若让光猫完成PPPoE的拨号身份验证，那么就选此项，不适合本例，不选它。
• 本例实战中的配置选项，如下图：
• 完成配置后，点应用。

（二）配置H3C路由器：

1. 把光猫的千兆口网线接到路由器的WAN口，再用笔记本电脑接到路由器，登录到路由器后，点接口设置，WAN设置，下拉列表中的选项含义如下：

• 静态地址：若从ISP处申请了公网的静态IP地址，则选本项，本例不符，不选它。
• 动态地址：由ISP处的设备动态分发IP地址给用户的公网出口时选本项，也就是说ISP有DHCP服务器，给用户的公网出口分配动态的IP地址，本例不符，不选它。
• PPPoE：即本例所使用的宽带光纤拨号，所以选它。如下图：

2. 配置路由器的WAN口，填写好从ISP运营商处获得的PPPoE用户名和PPPoE密码，点应用保存，如下图：

3. 查看路由器采用PPPoE拨号连接后的状态，链路状态已连接，并能看到拨号身份验证通过后的公网IP地址，此公网IP地址会随着用网络流量的情况而变化，即无流量时有可能会释放该IP地址，当下次有流量时，另外再PPPoE拨号会获得另一个公网IP地址（目的是全球IPv4公网IP地址紧缺，所以要提高IPv4公网IP地址的利用率）。
4. 配置路由器上的静态路由

• 注意缺省路由是0.0.0.0 0.0.0.0 下一跳113.118.48.1，即所有内网终端上网时通过这个公网地址NAT到外网，上面的2项路由表是配置的DNS服务器，用于解析域名，根据当地的实际情况配置，及使用的哪个ISP运营商来配置。

（三）配置防火墙到路由器及公网之间的连通性

1. 配置之前，路由器到防火墙的这个接口是未启用的状态，物理+IPv4是红色的状态，如下图：
2. 启用路由器到防火墙的这个接口，物理+IPv4变成绿色，如下图：
3. 在防火墙上配置静态路由，使路由器到防火墙能通，并绑定IP_Link，达到某链路检测断开后，自动切换到好的公网链路上的目的。
4. 测试防火墙ping路由器通过光猫拨号连接的公网IP，不通，说明要做防火墙本地到公网untrust之间的安全策略，放通才可以ping通。
5. 做防火墙本地到公网untrust之间的安全策略，启用策略，如下图：
6. 再次测试防火墙，能ping路由器通过光猫拨号连接的公网IP，如下图：

（四）配置防火墙到路由器及运营商公网IP设备之间的IP_Link，采用ICMP协议测试心跳，一旦拨号光纤的信号断开，从防火墙的该接口出去到公网的流量，自动切换到别的好用的链路上。

1. 登录华为USG6630防火墙后，点系统，高可靠性，IP_Link，新建一条如下图：

• 当状态从init初始化到Up上线状态后，说明这条IP_Link已经生效。

2. 查看链路的健康状态

• 当防火墙与待侦测目的IP（公网地址）之间不通时，状态为down，本例是将公网IP改为了一个网络中没有的IP地址来测试，点“对象”的“健康检查”后，如下图：

3. 当网络中的物理链路、路由表、光猫PPPoE拨号正常后，配置好防火墙的安全策略，启用IP_Link即可查看到是不是有链路已经down了，测试过程中是init初始化状态，Up为正常状态，如下图：

（五）配置防火墙上的全局选路，实现流量的负载均衡

1. 通过网络，路由，智能选路，配置，可以对多条公网链路进行主备或负载分担的方式进行流量的管理

• 根据链路权重负载分担，所有链路的权重值加起来等于10。
• 根据链路带宽负载分担，即所有用户优先级相同，只是出口的带宽不同的情况下使用。
• 根据链路质量负载分担,是指根据网络的延时和抖动来判断公网选路。
• 根据链路优先级主备备份，是指某些重要的应用场合，比如大型活动或视频会议，当1条主链路出现故障后，切换到备用链路，但是链路的利用率低。

2. 配置全局选路时，调用上一步创建的IP_Link，本例采用根据权重负载分担
3. 过载保护的阈值，根据具体的网络运行情况来定。当某链路拥挤到90%时，其余流量走别的公网链路。

四、验证结果：

（一）外网多出口时，某条链路故障，流量自动切换到好的链路

思路：配置策略路由，让某网段外网出口从指定光纤走。因为策略路由优先于IP路由表的转发。所有链路正常时，查看某PC的公网IP后，智能选路再增加一条外网链路，然后断开本例中的光纤，观察持续ping百度的数据包仅掉2个，且终端的外网不会断开，流量会自动切换到好的链路上，并验证公网IP的变化，操作如下：

1. 指定某网段从这个光猫拨号的链路到公网

• 网络，智能选路，策略路由，新建一条策略路由，如下图：
• 指定出口时，将别的公网出口删除，只剩我们即将测试的这条公网链路

2. 对比光猫拨号的公网IP，与PC机上的公网IP，是对应关系，说明PC是从该链路转发数据包。

• 从路由器查看公网IP，如下图：
• 查看策略路由配置后的网段，其中一台PC的公网IP，与路由器拨号后的公网IP一致，说明该网段的PC外网出口即为此光猫拨号后的公网。

3. 使用ping www.baidu.com –t的方式持续ping百度网站，策略路由中再添加另一条拨号光纤

• 持续ping百度
• 策略路由中再添加另一条拨号光纤waiwang7345，如下图：
• 查看新添加的拨号光纤waiwang7345公网IP地址：

4. 断开原075589783795@163.gd光纤，再查看ping 百度掉的数据包

• 断开原075589783795@163.gd光纤
• 对用户来说，看到掉了2个ping百度的数据包，几乎是无感知状态，如下图：
• 查看现在PC的公网IP，已经变成了后面添加的waiwang7345拨号的光纤公网IP，如下图：

5. 断开075589783795@163.gd光纤后，健康检查ICMP时状态为down，符合我们的预期，如下图：
6. 断开075589783795@163.gd光纤后，系统，高可靠性，IP_Link中的状态也为down,符合预期，如下图：
7. 从智能选路查看，状态红色，不走数据流量，所以实现了终端用户无感知外网链路的故障，而自动切换到好的链路上的目的。

（二）配置多条公网出口的负载均衡：

1. 网络，智能选路，配置，将所有的公网链路添加进去，如下图：
2. 查看业务量大的时刻负载均衡的状态，如下图：

综上所述，本例采用光猫桥接，而不是光猫拨号的方式，管理过程中，配合防火墙的静态路由调用IP_Link、配置安全策略、配置IP_Link、配置健康检查、配置智能选路负载均衡。本次实战，既实现了多链路中，某链路故障时，会自动切换到好的公网链路的情况；也实现了多链路的负载均衡，提高了链路的利用率。

说明：

1. 有人会说防火墙也能拨号，就不需要光猫，确实如此，但是通过实战验证，当防火墙的品牌与型号跟运营商的设备品牌、型号兼容性不好的情况下，容易出现掉线的情况。
2. 本例如果采用光猫拨号的话，很难监测到从防火墙到路由器再到光猫的这条链路是否正常。况且一般情况下，运营商是不会把光猫的配置和管理权限交给用户的。本文至此结束，不足之处敬请批评指正。