本帖最后由 taxigps 于 2021-3-17 11:52 编辑

一、应用场景

家里安装了电信500M和移动500M的双宽带，之前用R7000刷改版固件来支持双线接入。因手机、电脑等无线接入设备均更新为支持WIFI6的型号，需要相应更换支持WIFI6的无线路由器。经比较各类升级方案后，综合考虑安全、稳定、经济三方面因素后，决定采用华为AR111-S企业路由器支持双线接入+AX3PRO做AP支持WIFI6无线接入的模式升级家庭网络系统。网络拓扑结构见下图：

双线路宽带拓扑图.png (41.69 KB, 下载次数: 3)

2021-3-17 11:50 上传

电信、移动宽带均为光纤入户，PPPOE拨号方式上网，光猫设置为桥接模式，由AR路由器负责拨号。AR111-S默认的WAN口GE4接电信光猫，GE3口转换为WAN口并接移动光猫。AR路由器的LAN口下接千兆交换机后连接有线上网设备及无线AP华为AX3PRO。有线上网设备中NAS服务器上运行了BT下载功能，需要在路由器WAN口开启端口映射。AR111-S端口配备情况见下图：

rear.png (623.84 KB, 下载次数: 3)

2021-3-17 11:50 上传

二、总体配置思路

默认情况下通过电信线路上网，移动线路作为备份线路。配置策略路由，将移动IP范围的上网流量指定到移动线路。使用NAQ(Network Quality Analysis，网络质量分析)机制检测线路状态，实现线路出现故障时自动变更路由。

三、具体配置过程

在Dialer1接口和Dialer2接口下配置CHAP和PAP认证，实现设备通过PPP认证分别与电信和移动的PPPoE服务器建立连接。这里假定电信宽带用户名/密码为user1/password1，移动宽带用户名/密码为user2/password2。

配置拨号方式为自动拨号方式，这样，连接断开后，每隔一段时间设备会自动再次尝试建立拨号连接。

创建拨号访问规则。

system-view

[Huawei] dialer-rule

[Huawei-dialer-rule] dialer-rule 1 ip permit

[Huawei-dialer-rule] dialer-rule 2 ip permit

[Huawei-dialer-rule] quit复制代码

配置Dialer1接口。

[Huawei] interface dialer 1

[Huawei-Dialer1] dialer user arweb

[Huawei-Dialer1] dialer bundle 1

[Huawei-Dialer1] dialer number 1 autodial

[Huawei-Dialer1] dialer-group 1

[Huawei-Dialer1] ppp chap user user1

[Huawei-Dialer1] ppp chap password cipher password1

[Huawei-Dialer1] ppp pap local-user user1 password cipher password1

[Huawei-Dialer1] ip address ppp-negotiate

[Huawei-Dialer1] quit复制代码

配置Dialer2接口。

[Huawei] interface dialer 2

[Huawei-Dialer2] dialer user arweb

[Huawei-Dialer2] dialer bundle 2

[Huawei-Dialer2] dialer number 2 autodial

[Huawei-Dialer1] dialer-group 2

[Huawei-Dialer2] ppp chap user user2

[Huawei-Dialer2] ppp chap password cipher password2

[Huawei-Dialer2] ppp pap local-user user2 password cipher password2

[Huawei-Dialer2] ip address ppp-negotiate

[Huawei-Dialer2] quit复制代码

建立PPPoE会话(GE3口转换为WAN口)。

[Huawei] interface gigabitethernet 0/0/4

[Huawei-GigabitEthernet0/0/4] pppoe-client dial-bundle-number 1

[Huawei-GigabitEthernet0/0/4] quit

[Huawei] interface gigabitethernet 0/0/3

[Huawei-GigabitEthernet0/0/3] undo portswitch

[Huawei-GigabitEthernet0/0/3] pppoe-client dial-bundle-number 2

[Huawei-GigabitEthernet0/0/3] quit复制代码

配置NAT功能，实现局域网内的用户可以访问互联网。并为NAS服务器(使用静态IP地址192.168.1.2)上的BT下载程序在两个WAN接口配置端口映射，这里使用的为tcp和udp协议的22333端口。

[Huawei] acl number 2001

[Huawei-acl-basic-2001] rule 5 permit ip source 192.168.1.0 0.0.0.255

[Huawei-acl-basic-2001] quit

[Huawei] interface dialer 1

[Huawei-Dialer1] nat outbound 2001

[Huawei-Dialer1] nat server protocol tcp global current-interface 22333 inside 192.168.1.2 22333

[Huawei-Dialer1] nat server protocol udp global current-interface 22333 inside 192.168.1.2 22333

[Huawei-Dialer1] quit

[Huawei] interface dialer 2

[Huawei-Dialer2] nat outbound 2001

[Huawei-Dialer2] nat server protocol tcp global current-interface 22333 inside 192.168.1.2 22333

[Huawei-Dialer2] nat server protocol udp global current-interface 22333 inside 192.168.1.2 22333

[Huawei-Dialer2] quit复制代码

配置分别针对电信和移动线路的NQA测试实例。

[Huawei] nqa test-instance user lianlu1

[Huawei-nqa-user-lianlu1] test-type icmp

[Huawei-nqa-user-lianlu1] destination-address ipv4 114.114.114.114

[Huawei-nqa-user-lianlu1] frequency 15

[Huawei-nqa-user-lianlu1] source-interface Dialer1

[Huawei-nqa-user-lianlu1] start now

[Huawei-nqa-user-lianlu1] quit

[Huawei] nqa test-instance user lianlu2

[Huawei-nqa-user-lianlu2] test-type icmp

[Huawei-nqa-user-lianlu2] destination-address ipv4 114.114.114.114

[Huawei-nqa-user-lianlu2] frequency 15

[Huawei-nqa-user-lianlu2] source-interface Dialer2

[Huawei-nqa-user-lianlu2] start now

[Huawei-nqa-user-lianlu2] quit复制代码

配置到PPPoE拨号链路的静态路由，通过指定静态路由的优先级完成主备链路，优先选择电信链路Dialer1接口进行拨号。静态路由与NQA联动。

[Huawei] ip route-static 0.0.0.0 0.0.0.0 Dialer1 track nqa user lianlu1

[Huawei] ip route-static 0.0.0.0 0.0.0.0 Dialer2 preference 100 track nqa user lianlu2复制代码

设置内网网关地址192.168.1.1。启用路由器的DHCP服务，为上网的终端设备动态分配IP地址。地址池范围设为192.168.1.100-192.168.1.199，地址池以外的其他地址保留给使用静态IP的服务器等设备，如NAS。

[Huawei] dhcp enable

[Huawei] interface Vlanif1

[Huawei-Vlanif1] ip address 192.168.1.1 255.255.255.0

[Huawei-Vlanif1] dhcp select interface

[Huawei-Vlanif1] dhcp server ip-range 192.168.1.100 192.168.1.199

[Huawei-Vlanif1] dhcp server dns-list 192.168.1.1

[Huawei-Vlanif1] quit复制代码

下面我们要创建接口策略路由，并与NQA联动。首先创建ACL指定匹配规则。ACL 3001为局域网内IP互访规则，ACL 3100为匹配目的地址为中国移动IP的访问规则。

[Huawei] acl number 3001

[Huawei-acl-adv-3001] rule 5 permit ip destination 192.168.1.0 0.0.0.255

[Huawei-acl-adv-3001] quit

[Huawei] acl number 3100

[Huawei-acl-adv-3100] rule 0 permit ip destination 1.2.4.0 0.0.0.255

[Huawei-acl-adv-3100] rule 1 permit ip destination 1.15.0.0 0.0.255.255

[Huawei-acl-adv-3100] rule 2 permit ip destination 1.88.0.0 0.3.255.255

...(略)

[Huawei-acl-adv-3100] rule 737 permit ip destination 223.202.248.0 0.0.3.255

[Huawei-acl-adv-3100] rule 738 permit ip destination 223.223.176.0 0.0.15.255

[Huawei-acl-adv-3100] quit复制代码

配置流分类。

[Huawei] traffic classifier lan2lan

[Huawei-classifier-lan2lan] if-match acl 3001

[Huawei-classifier-lan2lan] quit

[Huawei] traffic classifier lianlu2

[Huawei-classifier-lianlu2] if-match acl 3100

[Huawei-classifier-lianlu2] quit复制代码

配置流行为。lan2lan是局域网内IP互访，动作为空，即不做重定向。lianlu2是访问中国移动IP，重定向到移动链路Dialer2接口并与NQA联动。

[Huawei] traffic behavior lan2lan

[Huawei-behavior-lan2lan] quit

[Huawei] traffic behavior lianlu2

[Huawei-behavior-lianlu2] redirect interface dialer 2 track nqa user lianlu2

[Huawei-behavior-lianlu2] quit复制代码

配置流策略。创建选路策略，绑定流分类和流行为，注意lan2lan要最先配置，目的是避免局域网互访流量去匹配数百条中国移动IP规则而浪费资源。

[Huawei] traffic policy xuanlu

[Huawei-trafficpolicy-xuanlu] classifier lan2lan behavior lan2lan

[Huawei-trafficpolicy-xuanlu] classifier lianlu2 behavior lianlu2

[Huawei-trafficpolicy-xuanlu] quit复制代码

在局域网端口应用选路策略。

[Huawei] interface Vlanif1

[Huawei-Vlanif1] traffic-policy xuanlu inbound

[Huawei-Vlanif1] quit复制代码