Хорошо

Подключение к двум провайдерам маршрутизатора серии AR6200 в режиме баллансировки

Опубликовано 2020-7-13 16:39:15Последний ответ июл 14, 2020 09:49:09 480 10 0 0 0
  Награжденные Форбаллы: 0 (Проблема решена)

Всем доброго дня!
Не смог найти ни одного мануала по подключению маршрутизатора к двум провайдерам в режиме балансировки по сессиям NAT (PAT). Подключение к провайдерам по выделенным статическим адресам, два маршрута по-умолчанию. То есть нужно настроить два NAT (PAT) к каждому провайдеру с целью балансировки трафика каждого пользователя локальной сети на двух провайдеров в режиме балансировки. На циске смог осилить по статье с хабра. На хуавее нет ни одного мануала. 
В процессе настройки циски использовал:

NAT - правила динамической трансляции, с использованием route-map.

EEM - сценарий EEM будет автоматически очищать таблицу трансляции, в случае отключения одного из  провайдеров.

IP SLA – тесты SLA будут мониторить несколько ресурсов в Интернет. Так как, по умолчанию, будут использоваться оба провайдера, то тесты должны быть настроены для каждого их них.

Local PBR - политика PBR для тестов IP SLA. Политика будет отправлять пакеты на определенного провайдера, которые генерирует тест IP SLA.

Track - следит за соответствующим тестом IP SLA, а суммарный track объединяет их в один объект.

Прошу помощи в поиске мануала по настройке подключения роутера серии AR6200 к двум провайдерам.
Заранее благодарю всех откликнувшихся!!! 



Вот пример конфига с работающей циски. Нужно подобное на AR6200

Настройка интерфейсов


interface Ethernet0/0

 description TO_LAN

 ip address 192.168.1.254 255.255.255.0

 ip nat inside


interface Ethernet0/1

 description TO_ISP1

 ip address 100.100.100.1 255.255.255.0

 ip nat outside


interface Ethernet0/2

 description TO_ISP2

 ip address 200.200.200.1 255.255.255.0

 ip nat outside


Настройка акцесс-листа для работы NAT


ip access-list standard NAT

 permit 192.168.1.0 0.0.0.255


Настройка route-map


route-map ISP1 permit 10

 match ip address NAT

 match interface Ethernet0/1


route-map ISP2 permit 10

 match ip address NAT

 match interface Ethernet0/2


Настройка NAT


ip nat inside source route-map ISP1 interface Ethernet0/1 overload

ip nat inside source route-map ISP2 interface Ethernet0/2 overload


Настройка EEM 


event manager applet isp1_up

 event track 100 state up

 action 001 cli command "enable"

 action 002 cli command "clear ip nat trans *"

 action 003 syslog msg "isp1 is up"


event manager applet isp1_down 

 event track 100 state down

 action 001 cli command "enable"

 action 002 cli command "clear ip nat trans *"

 action 003 syslog msg "isp1 is down"


IP SLA 


Настройка пинга (icmp-echo) c интерфейса ISP1 до серверов YANDEX: 


ip sla 1

 icmp-echo 5.255.255.60 source-interface Ethernet0/1

 threshold 1000

 timeout 1500

 frequency 3

ip sla schedule 1 life forever start-time now


ip sla 2

 icmp-echo 5.255.255.55 source-interface Ethernet0/1

 threshold 1000

 timeout 1500

 frequency 3

ip sla schedule 2 life forever start-time now


ip sla 3

 icmp-echo 77.88.55.66 source-interface Ethernet0/1

 threshold 1000

 timeout 1500

 frequency 3

ip sla schedule 3 life forever start-time now


Настройка пинга (icmp-echo) c интерфейса ISP2 до серверов YANDEX: 

 

ip sla 11

 icmp-echo 77.88.55.60 source-interface Ethernet0/2

 threshold 1000

 timeout 1500

 frequency 3

ip sla schedule 11 life forever start-time now


ip sla 12

 icmp-echo 213.180.193.1 source-interface Ethernet0/2

 threshold 1000

 timeout 1500

 frequency 3

ip sla schedule 12 life forever start-time now


ip sla 13

 icmp-echo 93.158.134.1 source-interface Ethernet0/2

 threshold 1000

 timeout 1500

 frequency 3

ip sla schedule 13 life forever start-time now


Настройка Local PBR 


Настройка Local PBR для тестов до YANDEX через ISP1: 


ip access-list extended SLA1_ACL

 permit icmp host 100.100.100.1 host 5.255.255.55

 permit icmp host 100.100.100.1 host 77.88.55.66

 permit icmp host 100.100.100.1 host 5.255.255.60


route-map PBR_SLA permit 10

 match ip address SLA1_ACL

 set ip next-hop 37.29.74.1


Настройка Local PBR для тестов до YANDEX через ISP2: 


ip access-list extended SLA2_ACL

 permit icmp host 200.200.200.1 host 77.88.55.60

 permit icmp host 200.200.200.1 host 213.180.193.1

 permit icmp host 200.200.200.1 host 93.158.134.1


Применение политики: 


ip local policy route-map PBR_SLA


Настройка Track 


Каждый track (10,20,30) отслеживает свой тест IP SLA через ISP1: 


track 10 ip sla 1 reachability

track 20 ip sla 2 reachability

track 30 ip sla 3 reachability


Суммарный track 100 объединяет созданные track для ISP1: 


track 100 list boolean or

 object 10

 object 20

 object 30

 delay down 10 up 5


Каждый track (110,120,130) отслеживает свой тест IP SLA через ISP2:


track 110 ip sla 11 reachability

track 120 ip sla 12 reachability

track 130 ip sla 13 reachability


Суммарный track 200 объединяет созданные track для ISP2: 


track 200 list boolean or

 object 110

 object 120

 object 130

 delay down 10 up 5


Балансировка нагрузки  


Если настроить два равнозначных статических маршрута с суммарными треками, то в таблице маршрутизации будут оба маршрута и балансировкой трафика будет заниматься технология Cisco CEF: 


ip route 0.0.0.0 0.0.0.0 100.100.100.1 track 100

ip route 0.0.0.0 0.0.0.0 200.200.200.1 track 200


Проприетарный протокол CEF (включен при первоначальной настройке) балансирует трафик на основании пары IP-адрес отправителя и получателя. 


ip cef load-sharing algorithm include-ports source destination


Эта конфигурация позволяет использовать одновременное подключение к двум провайдерам в режиме баллансировки.


  • x

Избранные ответы
dai_splav
Опубликовано 2020-7-14 09:35:20

Кусок конфига USG, PRB с балансировкой каналов:
#
rule name PBR_DEFAULT_ROUTE
 source-zone trust
 source-address address-set ADS_LAN_NET
 action pbr egress-interface multi-interface
  mode priority-of-link-quality
  priority-of-link-quality parameter delay jitter loss
  priority-of-link-quality protocol tcp-simple
  priority-of-link-quality interval 3 times 2
  session persistence enable
  session persistence mode source-ip destination-ip
  add interface Dialer0
  add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 Dialer0
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1
#
NAT делается на зону, а не на интерфейс.
nat-policy
rule name nat_pol
 source-zone trust
 destination-zone untrust
 source-address address-set ADS_LAN_NET
 action source-nat easy-ip


P/S: Если нужно что бы конкретный адрес ходил в интернет только через назначеный аплинк делаем слудующие:

 rule name PBR_OVER_RT_ROUTE
  source-zone trust
  source-address address-set ADS_OVER_ROSINTEL

  action pbr egress-interface Dialer0

Развернуть
  • x

Все ответы
user_2909167
user_2909167 Модератор Опубликовано 2020-7-13 16:51:23
Добрый день
Для таких задач подходят файрволы, в частности - серии USG. Ооооочень странно что на пре-сейл стадии вам порекомендовали использовать именно AR для такого сценария подключения к провайдерам
Развернуть
  • x

user_3756642
user_3756642 Опубликовано 2020-7-14 07:48:10

Добрый день!

Ситуация такова, что есть вероятность покупки своей AS и небольшой сети, но BGP пока только в планах. Именно поэтому купили маршрутизатор серии AR.
Кроме этого есть два файрвола USG6000E. В найденной документации к ним балансировка настраивается за счёт работы VRRP. Но ищем вариант балансировки именно по аналогии с конфигом от cisco (который я выше выложил). 
Если есть какие-либо маны по настройке подобно описанной выше (cisco) балансировки на них, то не откажусь от помощи.

Развернуть
  • x

dai_splav
dai_splav Опубликовано 2020-7-14 08:46 (0) (0)
Добрый день. Исправлю вас. Балансировка каналов на USG делается через policy-based routing, а не через VRRP - через оного делают обычно отказоустойчивый кластер из USG, HRP называется по моему.  
user_3756642
user_3756642 Ответить dai_splav  Опубликовано 2020-7-14 08:48 (0) (0)
А нет ли случаем примеров в виде конфига?  
dai_splav
dai_splav Ответить user_3756642  Опубликовано 2020-7-14 09:25 (0) (0)
Если HRP и PRB выложу следующим постом.  
user_3756642
user_3756642 Ответить dai_splav  Опубликовано 2020-7-14 09:28 (0) (0)
Будут очень благодарен за помошь. Тема актуальная, а материалов в сети нет.  
dai_splav
dai_splav Опубликовано 2020-7-14 09:35:20

Кусок конфига USG, PRB с балансировкой каналов:
#
rule name PBR_DEFAULT_ROUTE
 source-zone trust
 source-address address-set ADS_LAN_NET
 action pbr egress-interface multi-interface
  mode priority-of-link-quality
  priority-of-link-quality parameter delay jitter loss
  priority-of-link-quality protocol tcp-simple
  priority-of-link-quality interval 3 times 2
  session persistence enable
  session persistence mode source-ip destination-ip
  add interface Dialer0
  add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 Dialer0
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1
#
NAT делается на зону, а не на интерфейс.
nat-policy
rule name nat_pol
 source-zone trust
 destination-zone untrust
 source-address address-set ADS_LAN_NET
 action source-nat easy-ip


P/S: Если нужно что бы конкретный адрес ходил в интернет только через назначеный аплинк делаем слудующие:

 rule name PBR_OVER_RT_ROUTE
  source-zone trust
  source-address address-set ADS_OVER_ROSINTEL

  action pbr egress-interface Dialer0

Развернуть
  • x

user_3756642
user_3756642 Опубликовано 2020-7-14 09:40:30
Немного необычно после циски. Благодарю! Попробую поэкспериментировать на USG.
Развернуть
  • x

dai_splav
dai_splav Опубликовано 2020-7-14 09:41:43
HRP+VRRP еще проще:
#
hrp enable
#
interface Vlanif1000
ip address 192.168.16.251 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.16.253 active
vrrp vrid 1 timer advertise 20
vrrp vrid 1 authentication-mode md5 bla-bla-bla
service-manage ping permit
#
interface GigabitEthernet1/0/6
description HRP_Link #линк USG<->USG
undo shutdown
ip address 10.100.0.1 255.255.255.252
Развернуть
  • x

HCIE%20R%26S%20%2314779
user_3756642
user_3756642 Опубликовано 2020-7-14 09:49:09

Благодарю за помощь!!!!
Я уверен что эти настройка могут подойти и к AR'кам. Будем пробовать...

Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.