|
本帖最后由 9622315 于 2016-8-22 20:53 编辑
貌似前一阵子,很多人都在讨论,爱快路由器同时接入两条线路,
一条为运营商的宽带线路,而另一条是企业内部的专网租赁线路,
并非常规的两条宽带线路。
最麻烦的是,宽带线路要做NAT转发,而企业内部的专网线路是路由转发,
爱快路由器要根据数据包的目的IP,自动判断应该转发到哪一条线路上。
大家沸沸扬扬,讨论了好几天,七嘴八舌的,貌似也没有啥最终的结果,
最近俺忙里偷闲,在家里搭建了个测试环境(实机测试,非虚拟环境),
把几种可能解决方案通通测试了一遍。
我总共想到了4套方案(如果你还有不同的欢迎补充),下面依次阐述。
网络拓扑图,图一为方案1与2,图2为方案3,图3为方案4
方案Ⅰ
网络拓扑如图1
终端配置
PC#1 IP 192.168.2.1/24 网关192.168.2.254
PC#2 IP 192.168.1.1/24 网关192.168.1.254
路由器接口配置
路由器#1(NAT模式)
WAN1 IP 10.0.1.2/24,网关 10.0.1.1
WAN2 IP 192.168.0.2/24,网关 192.168.0.254,勾选默认网关
LAN IP 192.168.2.254/24
路由器#2(路由模式)
WAN IP 10.0.1.1/24,网关 10.0.1.2
LAN IP 192.168.1.254/24
转发规则部署
路由器#1
上网模式 NAT
多线负载——自定义运营商——添加如下记录
营商名称 企业专网
目标地址 192.168.1.0/24
多线负载——添加转发规则
线路 WAN1
负载模式 实时连接数
运营商 企业专网
负载比例 1
状态 启用
NAT转发,添加如下规则
动作 过滤
线路 WAN1
源地址 192.168.2.1-192.168.2.254
目的地址 192.168.1.1-192.168.1.254
状态 启用
路由器#2
上网模式 路由
实际测试
① PC#1 ping 百度,通(通过路由器#1 WAN2口上级路由器转发)
② PC#1 ping 路由器#2 WAN,通
③ PC#1 ping PC#2,通
④ PC#2 ping 路由器#1 WAN1,通
⑤ PC#2 ping PC#1,不通
刚配好多线负载时,②③均不通,理论上多线负载的优先级,高于默认网关,
也就是说最起码②应该是能通的,但实际测试结果是不通,不知道是否为BUG,
经多方检测,发现配好多线负载后,先将PC#1的IP释放,然后再重新获取IP,
或者先禁用然后再启用PC#1的本地连接,此时②③④均可通,但⑤依然不通。
修改路由器#1转发规则
删除多线负载中的所有线路规则
添加端口分流规则,具体如下
协议 任意
线路 WAN1
源地址 192.168.2.1-192.168.2.254
目的地址 192.168.1.1-192.168.1.254
状态 启用
实际测试
① PC#1 ping 百度,通(通过路由器#1 WAN2口上级路由器转发)
② PC#1 ping 路由器#2 WAN,通
③ PC#1 ping PC#2,通
④ PC#2 ping 路由器#1 WAN1,通
⑤ PC#2 ping PC#1,不通
从测试结果可以看出,路由器#1工作在NAT模式下,
端口分流与多线负载的效果是一样的。
上述两种转发规则,当配置生效后,分别抓包测试,
当且仅当PC#1 ping PC#2时,在PC#2上抓包,
可看到源IP地址为192.168.2.1的ICMP报文,
由此证明,转发模式为路由,NAT过滤规则生效。
==================================================
方案Ⅱ
网络拓扑图
同方案Ⅰ
终端配置
同方案Ⅰ
路由器#1 与 路由器#2 接口配置参数
同方案Ⅰ
转发规则部署
路由器#1
上网模式 路由
多线负载——自定义运营商——添加如下记录
营商名称 企业专网
目标地址 192.168.1.0/24
多线负载——添加转发规则
线路 WAN1
负载模式 实时连接数
运营商 企业专网
负载比例 1
状态 启用
NAT转发,添加如下规则
动作 转发
线路 WAN2
源地址 192.168.2.1-192.168.2.254
目的地址 留空
状态 启用
路由器#2
上网模式 路由
实际测试
① PC#1 ping 百度,通(通过路由器#1 WAN2口上级路由器转发)
② PC#1 ping 路由器#2 WAN,通
③ PC#1 ping PC#2,通
④ PC#2 ping 路由器#1 WAN1,通
⑤ PC#2 ping PC#1,不通
发生与方案Ⅰ相同的问题,即配好多线负载后,要重置PC#1的网卡,
否则线路是不通的,从测试结果看,最终效果与方案Ⅰ一模一样。
修改路由器#1转发规则
删除多线负载中的所有线路规则
添加端口分流规则,具体如下
协议 任意
线路 WAN1
源地址 192.168.2.1-192.168.2.254
目的地址 192.168.1.1-192.168.1.254
状态 启用
实际测试
① PC#1 ping 百度,通(通过路由器#1 WAN2口上级路由器转发)
② PC#1 ping 路由器#2 WAN,通
③ PC#1 ping PC#2,通
④ PC#2 ping 路由器#1 WAN1,通
⑤ PC#2 ping PC#1,不通
从测试结果可以看出,路由器#1工作在路由模式下,
端口分流与多线负载的效果是一样的。
上述两种转发规则,当配置生效后,分别抓包测试,
当且仅当PC#1 ping PC#2时,在PC#2上抓包,
可看到源IP地址为192.168.2.1的ICMP报文,
由此证明,转发模式为路由。
但为何上述两套方案PC#2 ping PC#1均不通,具体原因,有待进一步研究。
==================================================
方案Ⅲ
网络拓扑如图2
终端配置
同方案Ⅰ
路由器接口配置
路由器#1(NAT模式)
WAN IP 192.168.0.2/24,网关 192.168.0.254,勾选默认网关
LAN1 IP 192.168.2.254/24,开启LAN互访
LAN2 IP 10.0.1.2/24,开启LAN互访
路由器#2(路由模式)
同方案Ⅰ
转发规则部署
路由器#1
上网模式 NAT
网络设置——静态路由,添加如下规则
线路 LAN2
目标地址 192.168.1.0
子网掩码 255.255.255.0
网关 10.0.1.1
状态 启用
路由器#2
上网模式 路由
实际测试
① PC#1 ping 百度,通(通过路由器#1 WAN口上级路由器转发)
② PC#1 ping 路由器#2 WAN,通
③ PC#1 ping PC#2,通
④ PC#2 ping 路由器#1 LAN2,通
⑤ PC#2 ping PC#1,通
抓包测试
当且仅当PC#1 ping PC#2时,在PC#2上抓包,
可看到源IP地址为192.168.2.1的ICMP报文,
由此证明,转发模式为路由。
当且仅当PC#2 ping PC#1时,在PC#1上抓包,
可看到源IP地址为192.168.1.1的ICMP报文,
由此证明,转发模式为路由。
==================================================
方案Ⅳ
网络拓扑如图3
终端配置
同方案Ⅰ
路由器接口配置
路由器#1(NAT模式)
WAN IP 192.168.0.2/24,网关 192.168.0.254,勾选默认网关
LAN IP 192.168.2.254/24,扩展IP 10.0.1.2/24
路由器#2(路由模式)
同方案Ⅰ
转发规则部署
路由器#1
上网模式 NAT
网络设置——静态路由,添加如下规则
线路 LAN1
目标地址 192.168.1.0
子网掩码 255.255.255.0
网关 10.0.1.1
状态 启用
路由器#2
上网模式 路由
实际测试
① PC#1 ping 百度,通(通过路由器#1 WAN口上级路由器转发)
② PC#1 ping 路由器#2 WAN,通
③ PC#1 ping PC#2,通
④ PC#2 ping 路由器#1 LAN2,通
⑤ PC#2 ping PC#1,通
抓包测试
当且仅当PC#1 ping PC#2时,在PC#2上抓包,
可看到源IP地址为192.168.2.1的ICMP报文,
由此证明,转发模式为路由。
当且仅当PC#2 ping PC#1时,在PC#1上抓包,
可看到源IP地址为192.168.1.1的ICMP报文,
由此证明,转发模式为路由。
总结:
方案Ⅰ与方案Ⅱ,都存在问题,具体原因不详,因为没有权限,看不到爱快的路由表,
所以,无法从理论上分析出错原因,LZ尝试过各种方法,均无法使PC#2 ping通PC#1。
具体原因,还要让官方的技术人员来查找,只有他们有权限查看系统的路由表。
测试我中还发现,不论何种转发方式,也不论何种上网模式,在PC#2 ping PC#1时,
只要断开路由器WAN2口的宽带连接(比如断开网线或解绑接口),此时立即ping通,
一旦恢复WAN2的连接,PC#2立马ping不通PC#1。一切都在路由表,可我就是看不到。
方案Ⅲ与方案Ⅳ,堪称完美,PC#1与PC#2双向均可ping通,且数据包均采用路由转发,
但事物总是没有十全十美的,LZ在测试中发现,PC#2可以通过路由器#1访问Internet,
估计这是多数情况下,偶们不愿看到的结果,好在爱快集成防火墙,加条ACL规则即可,
ACL规则如下
协议 任意
动作 阻断
方向 转发
源地址 留空
目的地址 留空
进接口 LAN2(方案Ⅲ)或LAN1(方案Ⅳ)
出接口 WAN1
周期 默认
时间段 默认
搞定,现在PC#2只可以ping通PC#1了,ping百度不通了。
后记:
稍有经验的人,一眼就可以看出来,方案Ⅳ是两个网段的数据,跑在同一台交换机上,
且还是台傻瓜交换机,出于各种原因(比如数据安全),很多情况下这是不被允许的,
但如果路由器上没有空闲的接口,不能像方案Ⅲ那样添加第二个LAN口,那怎么办呢?
天无绝人之路——世界上有一种网络技术叫做VLAN,还有一种网设备叫做VLAN交换机,
爱快恰恰还支持VLAN技术,下面就不用我废话了吧,聪明的你肯定知道该怎么处理了。
|
|