本帖最后由 螺丝钉 于 2017-8-28 14:48 编辑
NGAF双链路策略路由配置实例 一大早上班路上经过婚姻登记处门口,发现那么长一队人在排队等候,突然意识到原来今天是七夕。七夕大家都希望能成双成对,巧得很,正好碰上单位外网电信、联通的双链路接入,就把我的配置步骤跟大家某公司。
我的环境简化后基本如下图所示,实现目的就是想让访问电信的网站或是应用走电信线路,访问联通的网站或应用走联通线路。
要实现双链路接入,首先要确认一下设备是否有相应的license支持。查看设备序列号的线路数,只要线路数≥2即可。如果此处不支持,需要联系经销商花钱购买相应功能。
导航至“网络配置-接口/区域-区域”,新增区域,名称为互联网,把连接电信的eth9和连接联通的eth13定义进来。当然也要建立内网办公区域此处略,反正都要做相应的配置。
导航至“物理接口”点击eth9接口,启用该接口,标注为电信接口,选择定义为WAN口,选择线路1,把从电信申请到的公网IP地址全部写进地址栏内。按理说这个地方只写Wan接口地址就行了,不知道为什么某公司规定必须把能用到的公网IP全写进去,否则后面用到的地址映射啥的会不好用!这地方公网IP是否可用按理说有ISP来定义,网络设备多此一举不知何故?这地方我有点费解。不管它,反正这么配就这么配吧。
点击链路故障检查中的设置按钮,在里面添加一个电信的DNS服务器的IP地址作为链路是否通断的检测地址。
同理,设置eth13为联通出口,配置过程完全一样,只是注意选择线路2,并选择填写联通的DNS IP地址。
配置完毕后是这个样子的:
设备的路由优先级是这样的:系统路由>静态路由>策略路由>缺省路由。因此静态路由里面如果原来有手动建立的外网路由要删掉。但要新增或保留两条静态缺省路由,分别对应电信和联通的下一跳地址和接口。这是为了在策略路由失效后,至少还有缺省路由可以走。
静态路由建好后是这个样子的,当然如果内网有多个网段并有三层交换机等相连,别忘了还要针对内网做相应的路由,此不赘述。
点击策略路由,新增一条源地址策略路由,此路由定义为“电信走电信出口”,源选择所有内网区域,目的选择ISP为电信,下一跳接口选择为eth9的电信接口。此路由的意思就是所有访问电信网站或应用的流量都从电信接口出去。
同理,再建一条联通的策略路由。
如此,我的双链路策略路由就基本建好了。事实上我还有其他的需求。我们公司业务较广,与不同国家的客户业务往来比较频繁。鉴于中国与不同国家出口连接可能属于不同的ISP的情况,比如访问新加坡、哈萨克斯坦等国的网站用联通的线路会比电信线路快,所以还要建立一些基于不同国家为目的的策略路由设置。这样就可以选择目的国家,然后选择相应的网络接口出去。例如,建立一条走联通出口的国家或地区的策略路由。
这里需要注意的是:目前我测试用的版本为7.2,尚存在路由BUG:实际上基于国家地区为目的的策略路由与以上基于ISP的策略路由不能同时使用。希望某公司能尽快解决此事。我已经提过此BUG:
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=35401
这样之后,我所需要的策略路由就基本建好了。
后续还需要做一些配合的工作。在做源地址转换的时候,“源地址转换为”一定选择“出接口地址”!就不能随便指定了。总觉得这个地方有点缺憾,不能选择自己想用的IP,不知道是不是有变通的方法。
还要建立一个源和目的分别包含所有网络的源地址转换,这个好像也有点别扭,应该是为了解决内网用户用外网地址访问内部映射服务的问题吧。我没记得当年你思科有类似的配置。
当然,要想正常访问外网,应用控制策略是必备可少的。例如建立一条允许内网访问外网的策略。不赘述。
好了双链路策略路由基本操作就这些!欢迎大家讨论。 | 
发表于 2017-8-28 14:48
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
