电信网通双出口负载均衡配置实例

DNAT负载均衡功能配置案例DNAT负载均衡功能配置案例(设置内网服务器对互联网提供服务)拓扑图如附件所示。

需求说明：内网有三台http服务器（192.168.2.2/3/4）要对外提供服务，使用的外网口地址是192.168.0.2，需对外提供负载均衡的功能。

后续准备还要增加邮件、ftp等服务器。

同时，允许这些服务器能够方便在家休息时的网管人员能管理远程的服务器。

具体配置如下：address "cluster1"range 192.168.2.2 192.168.2.4host "192.168.2.2"host "192.168.2.3"host "192.168.2.4"exitservice "rdp"tcp dst-port 3389 timeout 1800exitinterface vswitchif1zone "trust"ip address 192.168.2.1 255.255.255.0manage sshmanage pingmanage httpmanage httpsexitinterface ethernet0/1zone "untrust"ip address 192.168.0.21 255.255.255.0 manage sshmanage pingmanage httpsexitip vrouter trust-vrip route 0.0.0.0/0 192.168.0.1exitpolicy from "trust" to "untrust"rule id 2action permitsrc-addr "Any"dst-addr "Any"service "Any"exitexitpolicy from "untrust" to "trust"rule id 3action permitsrc-addr "Any"dst-addr "Any"service "HTTP"service "FTP"service "POP3"service "PING"service "SMTP"service "rdp"service "ICMP"exitpolicy from "l2-trust" to "l2-trust"rule id 4action permitsrc-addr "Any"dst-addr "Any"service "Any"exitnatsnatrule id 1 from "cluster1" to "Any" eif ethernet0/1 trans-to address-book "192.168.0.20" mode dynamicport stickyexitnatsnatrule id 2 from "Any" to "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport stickyexitnatdnatrule id 2 from "Any" to "192.168.0.20" service "PING" trans-to "192.168.2.3" load-balance track-pingexitnatdnatrule id 1 from "Any" to "192.168.0.20" service "HTTP" trans-to "192.168.2.3" load-balance track-pingexitnatdnatrule id 4 from "Any" to "192.168.0.20" service "rdp" trans-to "192.168.2.3" load-balance track-pingexitnatdnatrule id 3 from "Any" to "192.168.0.20" service "PING" trans-to "192.168.2.4" load-balance track-pingexitnatdnatrule id 5 from "Any" to "192.168.0.20" service "HTTP" trans-to "192.168.2.4" load-balance track-pingexitnatdnatrule id 6 from "Any" to "192.168.0.20" service "rdp" trans-to "192.168.2.4" load-balance track-pingexitnatdnatrule id 7 from "Any" to "192.168.0.20" service "PING" trans-to "192.168.2.2" load-balance track-pingexitnatdnatrule id 8 from "Any" to "192.168.0.20" service "HTTP" trans-to "192.168.2.2" load-balance track-pingexitnatdnatrule id 9 from "Any" to "192.168.0.20" service "rdp" trans-to "192.168.2.2" load-balance track-pingexit。

双出口链路nat配置案例（outbound）1防火墙双链路出口nat策略路由配置案例一、用户组网二、需求场景需求一：●10.0.0.0及30.10.0.0网段内网用户的走G0/0/0口，通过External networt a访问公网，nat转化为地址1.0.0.1 ；20.0.0.0及30.20.0.0的内网用户走G0/0/1口，通过External network b访问公网，nat转化为地址2.0.0.1。

●防火墙出口到External networt a或External network b任意链路故障后，所有内网用户转化为同一出口地址访问公网。

●G5/0/0启子接口，下行30.10.0.0和30.20.0.0网段，网关配置在防火墙上。

需求二：●访问公网地址，如果访问的External networt a地址走External networt a访问公网；如果访问的为External networt b地址走External networt b访问公网需求三：●内网用户均可通过External networt a或External networt b访问公网需求四：●所有网络均走External networt a访问公网，当G/0/0链路down时，内网用户通过External networt b访问公网。

三、适用产品版本●设备型号：usg●软件版本：V100R002C01SPC100四、配置步骤需求一配置步骤：1、进入系统视图< USG >sys2、配置外网接口地址#配置External network a出口地址[USG ]interface GigabitEthernet 0/0/0[USG -GigabitEthernet0/0/0]ip address 1.0.0.1 255.255.255.0 #配置External network a出口地址[USG ]interface GigabitEthernet 0/0/1[USG -GigabitEthernet0/0/1]ip address 2.0.0.1 255.255.255.03、创建vlan，并将接口加入vlan（如果加入接口为三层口，也可在接口下配置地址）#创建vlan 2和vlan 3，并加入相应接口。

竭诚为您提供优质文档/双击可除公司有联通和电信两个出口,需要在路由器出口处配置什么协议篇一：企业多出口网络路由及流量负载均衡研究企业多出口网络路由及流量负载均衡研究摘要：随着企业慢慢不断发展壮大，互联网出口越来越多，每个新增出口都有一台防火墙设备单独和运营商连接，这种情况加大了网络维护工作量。

如果有一个出口出现设备或者链路故障，相应出口的业务会受到影响导致中断，如果想尽快恢复临时调整到其它出口，会增加网络维护的工作量并导致其它出口流量拥塞。

由于希望任何出口出问题时不会影响到该出口所涉及业务的正常使用，并减少网络维护的工作量和出口设备数量，因此需要对内部网络做出口网络路由和负载均衡改造。

关键词：出口网络；路由策略；虚拟防火墙；链路冗余；负载均衡exportenterprisenetworkroutingandflowloadbalance researchwangwei(operationandmaintenancedepartmentofhenancatvnetworkgroupco.,ltd.,zhengzhoubranch,zhengzhou450000,china) abstract:alongwiththeenterpriseslowlytheconstantdevelopmentandexpansion,theinternetexportmoreand more,eachnewexporthasafirewallequipmentaloneand operatorsconnection,thisincreasesthenetworkmaintenance.ifthereisanexitappearequipmentorlinkfailures,thecorrespondingbusinesscanbeaffectedthe exporttointerrupt,ifwanttorecoverassoonaspossibletoothertemporaryadjustexport,willincreasenetwork maintenanceworkloadandcauseotheroutletflowcongestion.becauseanyexportoutproblemstowon’taffecttheexportinvolvedthenormaluseofthebusiness,andreduc ethenetworkmaintenanceworkloadandexportequipmentquantity,soneedtointernalnetworkroutinganddoexport networkloadbalancereform.keywords:exportnetwork;routingstrategies;virtual firewall;linkredundancy;loadbalance一、出口网络结构（一）企业现在网络拓扑图企业目前内部网络有多个出口，每个出口经过一台防火墙连接运营商。

电信网通双线备份自动切换配置RouterOS 2.9中路由规则增加的两点功能：1、在RouterOS 2.9路由规则中增加了check-gateway的功能，能检测到网关的线路状态，如果网关无法探测到，便认为网关无法连接，会自动禁止访问网关的数据通过，check-gatew ay功能的探测时间为10s一个周期。

2、在RouterOS 2.9中具备了对缺省网关的判断，在RouterOS 2.9的任何一个路由表中只能存在一个缺省网关，即到任何目标地址为0.0.0.0/0，没有做路由标记（routing-mark）的规则,如果存在另一个缺省网关则认为是错误，路由将不予以执行。

如下图：从上图我们可以看到，所有访问电信的IP段从10.200.15.1出去，其他的数据走网通的缺省网关出去，在我们可以这些网关的前缀都为“AS”，即确定的静态路由，而在第二排可以看到蓝色一行，他也是一个缺省网关，但因为一个路由表中只能存在一个缺省网关，所有前缀为“S”即静态但不确定的网关，被认为位非法的。

如果当202.112.12.12.11网关断线，则10.200.1 5.1会自动启用，变为缺省路由，实现现在的切换，如下：当202.112.12.11断线后，check-gateway在10s一个周期后探测到，并将10.200.15.1 1设置为缺省路由，如果202.112.12.11正常后，系统也将会将202.112.12.11设置为缺省路由，因为他是先于10.200.15.1添加入路由表中。

源地址双线应用案例这是一个典型的通过一个路由器并使用两条ISP线路接入的环境（比如都是两条电线的ADSL 或者LAN接入）：当然，你可以选择负载均衡！这里有多种方法可以选择，只是根据你的环境，选择最适合你解决方案。

基于用户端IP地址的策略路由如果你有很多的主机地址，你可以通过IP地址将他们分组。

这时，指定源IP地址，发送的传输通过ISP1或者ISP2的网关出去。

版权声明：原创作品，如需转载，请与作者联系。

否则将追究法律责任。

策略路由（Policy-based Routing）和静态路由（Static Routing）的比较，如下表：策略路由静态路由配置方式手工配置手工配置配置原则根据“目的”或“来源”位指定路由路径；策略路由也是静态路由的一种，只是比静态路由更有弹性。

根据“目的”地址，指定路由路径策略路由配置的一般步骤：1. 定义一个路由映射图：Route-map2. 将路由映射图映射到特定的接口上：Router(config-if)#ip policy route-map map-tag路由映射图（route-map）与控制访问列表命令结构的比较，如下表：Route-map 路由映射ACL访问列表 Route-map （定义一个路由映射）Match（匹配）Set（采取的动作） Access-list（定义一个访问列表）Permit（匹配则保留）Deny（匹配则丢弃）Route-map命令详解命令语法：Router(config)#route-map map-tag [permit/deny] [sequence-number] Map-tag 该路由映射图的名字或ID；指定Permit参数假如满足匹配条件则采取动作；指定deny参数假如满足匹配条件则不采取行动； [sequence-number]（序列号）参数指示一个新的路由映射图所处的位置； [sequence-number]序列号也用来检查匹配条件的顺序。

命令语法：Router(config-route-map)#match {action}命令语法：Router(config-route-map)#set {action}策略路由的主要应用：1. 应用于路由重分布（Redistribution）2. 根据不同来源位置的数据流量，通过策略路由选择不同的出口；3. 根据不同的类型（HTTP，FTP）的数据流量，通过策略路由选择不同的出口。

H3C MSR路由器双出口NAT服务器的典型配置一、需求：MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。

电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（211.1.1.0/24）从G5/0访问电信网络，会被电信过滤。

该校内网服务器192.168.34.55需要对外提供访问，其域名是，对应DNS解析结果是211.1.1.4。

先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络。

设备清单：MSR一台二、拓扑图：三、配置步骤：适用设备和版本：MSR系列、Version 5.20, Release 1205P01后所有版本。

四、配置关键点：1) 此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现；2) 策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址211.1.1.4会被电信给过滤掉，因此必须使用策略路由从G5/1出去；3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策略；4) 在G0/0应用2个NAT的作用是使内网可以通过访问211.1.1.4访问内部服务器，如果只使用NAT Outbound Static，那么内部主机192.168.1.199发送HTTP请求的源、目的地址对<192.168.1.199, 211.1.1.4>会变成<192.168.1.199,192.168.34.55>然后发送给内部服务器，那么内部服务器会把HTTP响应以源、目的地址对<192.168.34.55, 192.168.1.199>直接返回给内部主机（192.168.1.199可以经过内部路由不需要经过MSR到达）因此对于内部主机来说始终没有接收到211.1.1.4返回的HTTP 响应，因此打开网页失败。

量配置成防火墙的网关（请先确认此网关允许被ping，在拨号环境中同时确认网关地址不会由于客户端地址改变而发生改变）。

3．3 配置相关防火墙策略需要同时配置相关的防火墙策略来允许从内网分别到两个不同的出网口，例如，出口是WAN1和WAN2，内网是Internal，那么需要同时配置Internal->WAN1和Internal->WAN2的出网防火墙策略以保证无论是WAN1还是WAN2启用防火墙策略都是合理的。

如果觉得这样配置的防火墙策略数量太多了的话，有另一个变通的方法就是可以新建一个防火墙区域，同时把WAN1和WAN2这两个接口包含起来比如说名字是WAN，那么这样只需要设置从Internal->WAN的防火墙策略就可以了。

4．情况二，双链路没有链路备份功能但具有负载均衡功能在网络出口连通性可以保证的前提下或者无须线路热备份时或者出口用途不是完全一样的时候，可以配置FortiGate为这种模式工作，这种情况下配置如下两个步骤：4．1 路由可以配置一条默认的出网路由。

同时配置相关的策略路由以设置某些符合指定条件的数据流从另一个出口出去。

4．2 防火墙策略和情况一类似，需要配置相关的防火墙策略以允许相关的数据流可以正常的通过防火墙。

5．情况三，双链路同时具有链路备份和负载均衡功能就是在两个出口都正常工作的情况下FortiGate可以把从内网出去的数据流按照特定的算法分流到两个不同的出口；当其中的某一个出口失效的时候，FortiGate又可以保证让所有的数据流可以从正常工作的出口出网。

这样一来，就同时达到了链路热备份和负载均衡的功能。

具体的配置步骤如下：5．1 路由如果是静态路由的话可以把出网路由的管理距离配置成相等的，也就是等价路由。

如果是ADSL、DHCP等动态获取的网关的话可以把“从服务器中重新得到网关”选中同时动态获取的路由的管理距离配置成一样的就可以了。

在默认路由已经配置完成的情况下，如果仍然有某些特定的数据流需要从指定的出口出网的话，可以使用策略路由功能来完成这样的需求。