出口路由器网关配置案例

大家好，我是小咖老师。

今天我们来讲一个出口路由器网关的配置案例。

如下图所示，在大型园区出口，路由器和防火墙进行直连，通过防火墙连接到外部网络和数据中心，对出入园区的业务流量提供安全过滤功能，为网络安全提供保障。

配置OSPF园区出口组网图

网络具体要求如下：

1 园区内用户使用私网IP地址，用户IP地址通过DHCP服务器进行管理和分配，路由器设备充当DHCP Relay；

2 需要区分VIP和非VIP用户，每个VIP用户可以接入2～3个终端设备，带宽限制1MBit/s，普通用户只能接入1个终端设备，带宽限制256KBit/s。此要求可以通过在路由器上配置QoS实现；

3 保证网络安全性，除了防火墙设备的部署外，在路由器设备上配置用户认证，保证只有注册用户登录内部网络；

4 保证网络可靠性，在每个设备都需要部署BFD。两台路由器设备上部署VRRP备份组并联动BFD，实现网关设备自动协商主备，保证路由不中断。

说明：本示例中interface1，interface2，interface3分别代表10GE1/0/1，10GE1/0/2，10GE1/0/3。

配置思路

为实现上述功能并完成配置，此案例采用如下思路进行配置：

配置设备名称及接口IP地址

为了方便管理员识别不用的设备，通常会为每一台设备配置设备名称。例如，把设备名称配置为“Router A”：

#
sysname Router A
#

配置设备的管理网口IP地址，以便通过该IP地址实现三层互联或远程登录。例如，为10GE1/0/1配置IP地址为10.1.1.1/24：

#
interface 10GE1/0/1undo shutdownip address 10.1.1.1 255.255.255.0     //为接口配置IP地址
#

其余IP地址配置方法类似，此处不再赘述。

配置IGP路由

1、整体结构

路由分为两部分：

网络路由：由网络设备自身的IP地址（设备互联接口地址、用于IGP/BGP/MPLS等协议的LoopBack接口地址）组成，提供基本的网络连通性。
业务路由：由终端和业务系统组成，为各业务提供连通性。

网络路由通常由IGP承载，IGP协议可选择OSPF和IS-IS，我们本文中以OSPF为配置案例。

2、OSPF基本配置

OSPF基本配置数据准备，请参见下图及下表：

配置OSPF组网图

Router A配置方法如下（Router B与Router A配置相似，此处不再赘述）：

#
router id 1.1.1.1
#
ospf 1
area 0.0.0.0network 10.1.1.0 0.0.0.255     //与路由器相连的所有设备接口所在网段都需要使能OSPFnetwork 10.1.2.0 0.0.0.255network 192.168.1.0 0.0.0.255network 172.16.0.0 0.0.0.255
#
interface 10GE1/0/1ospf cost 10              //配置两台路由器之间的OSPF路由开销值为10ospf network-type p2p
#
#
interface 10GE1/0/2ospf cost 2000          //配置路由器和Internet防火墙之间的OSPF路由开销值为2000ospf network-type p2p
#
#
interface 10GE1/0/3ospf cost 2000   //配置路由器和DC防火墙之间的OSPF路由开销值为2000ospf network-type p2p
#
interface 10GE1/0/4.1         //子接口会存在多个，参考此配置即可ospf cost 2000
#
interface 10GE1/0/4.2ospf cost 2000
#
interface 10GE1/0/4.100ospf cost 2000
#

3、配置路由器与防火墙之间路由互通

路由器和防火墙之间为了实现相互通信，需要在防火墙上同样部署OSPF，实现路由互通。

以FW1为例：

#
ospf 1default-route-advertise always    //配置将缺省路由发布到OSPF区域area 0.0.0.0network 10.1.2.0 0.0.0.255      //使能防火墙与路由器相连的接口所在网段的OSPF协议
#

4、检查配置结果

执行display ospf [ process-id ] routing router-id [ router-id] [age { min-value min-age-value | max-value max-age-value } * ] 命令查看OSPF路由。

配置VRRP

1、机制原理

VRRP的原理是通过把几台路由设备联合组成一台虚拟的路由设备，使用一定的机制保证当主用路由设备出现故障时，及时将业务切换到备份路由设备，从而保持通讯的连续性和可靠性。为了减少协议报文对带宽的占用及CPU资源的消耗，对于存在多个VRRP备份组的场景，可以将其中一个VRRP备份组配置为管理VRRP（mVRRP），负责发送协议报文来协商设备的主备状态，其他业务VRRP不发送协议报文，以此减少协议报文对CPU与带宽资源的消耗。

本例中，如图所示，由于在两台路由器之间需要部署多个VRRP备份组，因此，设置其中一个VRRP备份组为管理VRRP，负责协商两台路由器的主备状态。

管理VRRP图示

VRRP基本配置数据准备请参见表：

2、配置方法

# Router A配置（以三个子接口为例进行介绍，多个子接口参考配置）

#
interface GigabitEthernet1/0/4.1vrrp vrid 1 virtual-ip 172.16.0.10     //配置此子接口对应的VRRP备份组采用虚IP地址172.16.0.10vrrp vrid 1 track admin-vrrp interface GigabitEthernet1/0/4.100 vrid 100 unflowdown   //与管理VRRP备份组绑定，此VRRP成为业务VRRP。unflowdown参数设置业务VRRP与管理VRRP的状态保持一致
#
interface GigabitEthernet1/0/4.2vrrp vrid 2 virtual-ip 172.17.0.10                 //配置此子接口对应的VRRP备份组采用虚IP地址172.17.0.10vrrp vrid 2 track admin-vrrp interface GigabitEthernet1/0/4.100 vrid 100 unflowdown
#
interface GigabitEthernet1/0/4.100vrrp vrid 100 virtual-ip 172.30.0.10              //配置此子接口对应的VRRP备份组为管理VRRPadmin-vrrp vrid 100
#

# Router B配置（该设备的配置与Router A对应接口相匹配）

#
interface GigabitEthernet1/0/4.1vrrp vrid 1 virtual-ip 172.16.0.10                 //与对端设备对应的子接口采用相同的虚IP地址172.16.0.10vrrp vrid 1 track admin-vrrp interface GigabitEthernet1/0/4.100 vrid 100 unflowdown
#
interface GigabitEthernet1/0/4.2vrrp vrid 2 virtual-ip 172.17.0.10                 //与对端设备对应的子接口采用相同的虚IP地址172.17.0.10vrrp vrid 2 track admin-vrrp interface GigabitEthernet1/0/4.100 vrid 100 unflowdown
#
interface GigabitEthernet1/0/4.100vrrp vrid 100 virtual-ip 172.30.0.10        //配置子接口100为管理VRRPadmin-vrrp vrid 100                      //配置管理VRRP的备份组号为100
#

配置BFD

1、机制原理

由于路由器之间是通过运行OSPF协议实现的路由互通，而OSPF通过周期性的向邻居发送Hello报文来实现邻居检测，检测到故障所需时间比较长，超过1秒钟。但用户的语音和视频需求对于丢包和延时非常敏感，较长的检测时间会导致大量数据丢失，无法满足用户对网络的需求。通过配置BFD for OSPF特性，可以快速检测链路的状态，当其中一台路由器发生故障时，流量可以自动切换到另一台路由器进行数据传输。

2、配置方法

所有运行OSPF的接口都需要使能BFD功能，此处以Router A为例，具体配置方法如下：

#
bfd                                                //全局使能BFD
#
interface 10GE1/0/1ospf bfd enable                                  //接口使能BFDospf bfd min-tx-interval 100 min-rx-interval 100    //设置BFD发送和接收报文最小时间间隔为100毫秒
#
interface 10GE1/0/2ospf bfd enableospf bfd min-tx-interval 100 min-rx-interval 100
#
interface 10GE1/0/3ospf bfd enableospf bfd min-tx-interval 100 min-rx-interval 100
#

其他设备配置方法与Router A类似，此处不再赘述。

3、检查配置结果

执行display bfd session all命令可以查看所有BFD会话信息。

配置VRRP联动BFD

1、机制原理

部署VRRP后，当VRRP备份组之间的链路出现故障时，Backup设备需要等待3倍协商周期后才会切换为Master设备，在等待切换期间内，业务流量仍会发往Master设备，此时会造成业务流量丢失。通过部署VRRP联动BFD功能，可以使主备切换的时间控制在1秒以内，有效解决上述问题。

2、配置方法

# Router A配置

#
bfd atob bind peer-ip 172.30.0.2 interface GigabitEthernet1/0/4.100   //配置静态BFD，指定本地接口及对端接口IP地址discriminator local 1                                                 //配置静态BFD会话的本地标识符为1discriminator remote 2                                                //配置静态BFD会话的远端标识符为2
#

# Router B配置

#
bfd btoa bind peer-ip 172.30.0.1 interface GigabitEthernet1/0/4.100   //配置静态BFD，指定本地接口及对端接口IP地址discriminator local 2                                                 //配置静态BFD会话的本地标识符为2discriminator remote 1                                                //配置静态BFD会话的远端标识符为1
#

3、检查配置结果

执行display vrrp命令可以查看当前VRRP备份组的状态信息和配置参数。

配置QoS

1、机制原理

配置QoS及过滤规则，为不同级别的用户设置不同带宽

QoS可以实现针对各种业务的不同需求，为其提供端到端的服务质量保证。在本案例需求中，馆方需要实现VIP和非VIP不同带宽、不同终端的需求，QoS技术很好地解决了这个问题。通过定义流分类，实现不同业务流在网络中得到不同优先级、不同服务质量的监管。

在本例中，需要在两台路由器设备上定义流量策略、流分类及流定义，并指定对应接口的入方向流量应用指定策略，从而区分VIP用户和普通用户。

2、配置方法

# 定义ACL列表

#
acl number 2001rule 0 permit source 10.8.0.0 0.0.255.255     //VIP用户IP地址rule 1 permit source 10.80.0.0 0.1.255.255
#
acl number 2002rule 0 permit source 172.24.0.0 0.0.255.255   //非VIP用户IP地址rule 0 permit source 172.25.0.0 0.0.255.255

# 定义流分类和流行为

#
traffic classifier VIP operator or          //定义流分类，名称为VIPif-match acl 2001                         //定义流分类VIP匹配ACl 2001
traffic classifier SIP operator or             //定义流分类，名称为SIPif-match acl 2002                      //定义流分类SIP匹配ACl 2002
#
traffic behavior VIPremark ip-precedence 5          //定义流分类VIP的IP报文优先级为5
traffic behavior SIPremark ip-precedence 4              //定义流分类SIP的IP报文优先级为4
#
traffic policy VIPshare-mode                                //定义流策略为共享属性classifier VIP behavior VIP              //指定流分类VIP采用VIP流行为
traffic policy SIPshare-modeclassifier SIP behavior SIP            //指定流分类SIP采用SIP流行为
#

# 在所有连接业务流量的子接口上应用流量策略

#
interface GigabitEthernet1/0/4.1traffic-policy SIP inbound    //指定子接口的入方向流量应用策略SIP，即匹配ACL 2002，报文优先级为4
#
interface GigabitEthernet1/0/4.2traffic-policy VIP inbound         //指定子接口的入方向流量应用策略VIP，即匹配ACL 2001，报文优先级为5
#

配置用户接入

1、机制原理

需要对接入的用户进行配置动态分配和管理用户IP地址。

DHCP是用于集中对用户IP地址进行动态管理和配置的协议，采用客户端/服务器通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分配的IP地址等相应的配置信息，以实现IP地址等信息的动态配置。但由于本网络中的服务器和客户端不在同一个网段，因此，需要在路由器上配置DHCP Relay。DHCP Relay提供了对DHCP广播报文的透明传输功能，能够把DHCP客户端的广播报文透明地传送到其它网段的DHCP服务器上，同样也能够把DHCP服务器端的应答报文透明地传送到其它网段的DHCP客户端。

2、配置方法

# Router A配置（Router B的配置与此类似，此处不再赘述）

#
dhcp enable
#
interface GigabitEthernet1/0/4.1     //为所有业务子接口配置DHCP Relaydhcp select relay                   //使能DHCP Relay功能ip relay address 192.168.1.2        //配置DHCP中继所代理的DHCP服务器地址
#
interface GigabitEthernet1/0/4.2    //为所有业务子接口配置DHCP Relaydhcp select relay                  //使能DHCP Relay功能ip relay address 192.168.1.2       //配置DHCP中继所代理的DHCP服务器地址
#

说明

1、本配置例适合在大型园区场景中，通过配置OSPF协议实现用户接入无线网络的典型配置过程。

2、案例适用产品（版本）及特例

适用于V800R012C00及以后版本的NetEngine 8000 X、NetEngine 8000 F、NetEngine 8000 M8和NetEngine 8000 M14系列路由器。

适用于V800R008C00及以后版本的NE40E系列路由器。

该场景下无需特殊单板，普通接口板即可。

该场景不需要的License项。

不支持RouterId冲突，包含AS内RouterId冲突和跨AS的RouterId冲突。RouterId冲突时可能触发误检测。

通过配置default-route-advertise发布的缺省路由只支持检测环路，不支持自愈

整机重启后，当本机或邻居的BFD会话状态处于Admin Down时，不影响OSPF状态；当BFD会话重新协商，此时如果BFD上报检测状态Down但之前上报检测状态为Up，则OSPF置邻居Down，其他情况不影响OSPF状态。

关注技福小咖，分享更多网络实用操作！感谢帮忙点赞分享，您的支持是我们最大的动力！

出口路由器网关配置案例相关推荐

交换机路由器网关配置的基本命令代码 Cisco思科
以下是Cisco基本命令语句 0/0Router部分为主机名,默认路由器Router ,交换机switch:部分为模式:不同模式具有不同的权限以下为路由器的配置命令: Router> 第一 ...
局域网中代理服务器、路由器的配置案例
网络技术的飞速发展,使企事业单位局域网接入INTERNET共享资源的方式越来越多,就大多数而言,DDN专线以其性能稳定.扩充性好的优势成为普遍采用的方式,DDN方式的连接在硬件的需求上是简单的,仅需要 ...
华为三个路由器ospf配置案例
假设现在有三个华为路由器,分别为 R1.R2 和 R3,需要在它们之间配置 OSPF 协议,使得它们可以相互通信和路由转发. 以下是一个简单的 OSPF 配置案例: 1.配置 R1: system-v ...
倍讯科技Profinet转EtherCAT网关配置案例
本案例是介绍通过北京倍讯科技Profinet转EtherCAT网关设备将EtherCAT从站设备连接至西门子Profinet网络中的案例. 1.首先我们打开西门子PLC或其他Profinet主站设备的 ...
华为多出口路由器NAT配置
NAT负载分担配置多出口 [Router] interface gigabitethernet 0/0/1 [Router-GigabitEthernet0/0/1] undo portswitch ...
linux路由器实际配置案例
实际环境,拥有三个网段,因为防火墙要专职做SSL-×××了,且环境中会加一台proxy服务器,为此,将新的proxy服务器兼做一台路由器使用.因此,有了此文.<原计划使用透明代理的,但因实际部署 ...
网络工程师学习参考资料路由器配置案例分析
网络工程师学习参考资料路由器配置案例分析 2006-08-30 23:01:00 标签:配置路由器案例网络工程师 [推送到技术圈] INTERNET共享资源的方式越来越多,就大多数而言,DDN专 ...
网络工程师学习资料：路由器配置案例分析
INTERNET共享资源的方式越来越多,就大多数而言,DDN专线以其性能稳定.扩充性好的优势成为普遍采用的方式,DDN方式的连接在硬件的需求上是简单的,仅需要一台路由器(router).代理服务器(p ...
PROFINET转EtherNet/IP网关连接罗克韦尔（AB） PLC配置案例
罗克韦尔(AB) PLC 1769-L32E(EtherNet/IP)与西门子S7-1200 PLC(PROFINET)以太网通讯进行连接. 今天与大家分享一篇PROFINET转EtherNet/IP ...

出口路由器网关配置案例

出口路由器网关配置案例相关推荐

最新文章

热门文章