H3C-负载分担、链路备份的实现过程详解.doc

H3C-负载分担、链路备份的实现过程详解 H3C MSR20/30/50系列路由器 负载分担、链路备份的实现过程详解 实验背景： 随着公司规模的不断扩大，网络部门同时申请了两根光纤，其中一根为10M，另外一根为20M，由于带宽不对称，要求在出口路由器上做策略路由实现2:1的流量分配，其次要求两条线路互相备份，从而实现公司网络安全可靠的传输。 实验网络拓扑图： 配置说明： 由于MSR20/30/50路由器暂不支持基于用户的负载分担特性，可以使用NQA自动侦测与静态路由和策略路由通过Track联动实现负载分担和链路备份功能。 原理说明： 原理： NQA是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA还提供了与Track和应用模块联动的功能，实时监控网络状态的变化。 IP单播策略路由通过与NQA、Track联动，增加了应用的灵活性，增强了策略路由对网络环境的动态感知能力。 策略路由可以在配置报文的发送接口、缺省发送接口、下一跳、缺省下一跳时，通过Track与NQA关联。如果NQA探测成功，则该策略有效，可以指导转发；如果探测失败，则该策略无效，转发时忽略该策略。 ICMP-echo功能是NQA最基本的功能，遵循RFC 2925来实现，其实现原理是通过发送ICMP报文来判断目的地的可达性、计算网络响应时间及丢包率。 ICMP-echo测试成功的前提条件是目的设备要能够正确响应ICMP echo request报文。NQA客户端会根据设置的探测时间及频率向探测的目的IP地址发ICMP echo request报文，目的地址收到ICMP echo request报文后，回复ICMP echo reply报文。NQA客户端根据ICMP echo reply报文的接收情况，如接收时间和报文个数，计算出到目的IP地址的响应时间及丢包率，从而反映当前的网络性能及网络情况。 ICMP-echo测试的结果和历史记录将记录在测试组中，可以通过命令行来查看探测 结果和历史记录。 配置步骤： 1、 配置两个自动侦测组，对E0/1(wan1)和E0/0(wan2)连接状态进行侦测： nqa agent enable #开启NQA客户端功能（缺省情况下处于开启状态） # nqa entry wan1 1 #创建管理员为wan1/操作标签为1的NQA测试组并进入NAQ测试组视图 type icmp-echo #配置测试例类型为ICMP-echo并进入测试类型视图 destination ip 1.1.1.2 #配置测试操作的目的IP地址也就是E0/1接口的网关 next-hop 1.1.1.2配置IP报文的下一跳IP地址 probe count 3配置一次NQA测试中进行探测的次数，默认为1此 probe timeout 1000配置NQA探测超时时间，默认为3000ms frequency 1000 #测试频率为1000ms既测试组连续两次测试开始时间的时间间隔为1秒 reaction 1 checked-element probe-fail threshold-typeconsecutive 6 action-type trigger-only #建立联动项1，既如果连续测试6次失败则触发相关动作 quit # nqa entry wan2 1 #创建管理员为wan2/操作标签为1的NQA测试组并进入NAQ测试组视图 type icmp-echo destination ip 2.2.2.2#配置测试操作的目的IP地址也就是E0/0接口的网关 next-hop 2.2.2.2配置IP报文的下一跳IP地址 probe count 3 probe timeout 1000 frequency 1000 reaction 1 checked-element probe-fail threshold-type consecutive 6 action-type trigger-only quit # nqa schedule wan1 1 start-time now lifetime forever #启动探测组 nqa schedule wan2 1 start-time now lifetime forever #启动探测组 track 1 nqa entry wan1 1 reaction 1 #创建于NQA测试组中指定联动项关联的Track 1 track 2 nqa entry wan2 1 reaction 1 #创建于NQA测试组中指定联动项关联的Track 2 # 2、配置ACL，对业务流量进行2：1划分（前提是每个VLAN里的用户数基本相等，如果不等再根据实际情况划分）。 acl number 3222 #创建访问控制列表3222 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 1 permit ip source 192.168.2.0 0.0.0.255 rule 1000 deny ip quit acl number 3333 #创建访问控制列表3333 rule 0 permit ip source 192.168.3.0 0.0.0.255 rule 1 permit ip source 192.168.4.0 0.0.0.255 rule 2 permit ip source 192.168.5.0 0.0.0.255 rule 3 permit ip source 192.168.6.0 0.0.0.255 rule 1000 deny ip quit # # 3、定义IP单播策略路由名称为wan，并定义两个node，然后定义流量转发规则。 policy-based-route wan permit node 1 #定义策略wan，并创建策略节点为1（节点越小，优先级越高。当报文满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句，如报文不满足该节点的if-match子句，报文将会使用该条策略的下一个节点进行匹配。） if-match acl 3222 #定义匹配规则 apply ip-address next-hop 1.1.1.2 track 1 #指定动作，满足匹配条件下一跳指向1.1.1.2如果事件发生时Track项状态为positive，则该配置项有效，可以指导转发；事件发生时，Track项状态为negative或invalid，则该配置项无效，转发时忽略该配置项。 quit policy-based-route wan permit node 2 if-match acl 3333 apply ip-address next-hop 2.2.2.2 track 2 quit # 4、在和局域网交换机连接的口上启用策略路由转发： interface e0/2 ip policy-based-route wan # # 5、配置默认路由，当任意WAN链路出现故障时，流量可以在另外一条链路上进行转发： ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 track 1 preference 60 #将静态路由和跟踪组1绑定 ip route-static 0.0.0.0 0.0.0.0 2.2.2.2 track 2 preference 100 #将静态路由和跟踪组2绑定 注：一般来讲，策略路由的优先级要高于普通路由，即报文先按照策略路由进行转发。如果无法匹配所有的策略路由条件，再按照普通路由进行转发。但对于配置了缺省下一跳的情况，则是先进行普通路由的转发，如果无法匹配，再进行策略路由转发。 H3C S系列三层交换机负载分担、链路备份的实现过程 实验背景： 随着公司规模的不断扩大，网络部门同时申请了两根光纤，其中一根为10M，另外一根为20M，由于带宽不对称，要求在三层交换机上做策略路由实现2:1的流量分配，其次要求两条线路互相备份，从而实现公司网络安全可靠的传输。 实验网络拓扑图： 配置说明： 由于S系列三层交换机暂不支持基于用户的负载分担特性，可以使用策略路由、静态路由和NQA自动侦测实现负载分担和链路备份功能。 原理说明： 原理： NQA是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA还提供了与Track和应用模块联动的功能，实时监控网络状 态的变化。 IP单播策略路由通过与NQA、Track联动，增加了应用的灵活性，增强了策略路由对网络环境的动态感知能力。 策略路由可以在配置报文的发送接口、缺省发送接口、下一跳、缺省下一跳时，通过Track与NQA关联。如果NQA探测成功，则该策略有效，可以指导转发；如果探测失败，则该策略无效，转发时忽略该策略。 ICMP-echo功能是NQA最基本的功能，遵循RFC 2925来实现，其实现原理是通过发送ICMP报文来判断目的地的可达性、计算网络响应时间及丢包率。ICMP-echo测试成功的前提条件是目的设备要能够正确响应ICMP echo request报文。NQA客户端会根据设置的探测时间及频率向探测的目的IP地址发ICMP echorequest报文，目的地址收到ICMP echo request报文后，回复ICMP echo reply报文。NQA客户端根据ICMP echo reply报文的接收情况，如接收时间和报文个数，计算出到目的IP地址的响应时间及丢包率，从而反映当前的网络性能及网络情况。ICMP-echo测试的结果和历史记录将记录在测试组中，可以通过命令行来查看探测 结果和历史记录。 1、 配置两个自动侦测组，对G1/0/23和G1/0/24连接状态进行侦测： nqa agent enable #开启NQA客户端功能（缺省情况下处于开启状态） # nqa entry G23 1 #创建管理员为G23/操作标签为1的NQA测试组并进入NAQ测试组视图 type icmp-echo #配置测试例类型为ICMP-echo并进入测试类型视图 destination ip 192.168.111.129 #配置测试操作的目的IP地址 next-hop 192.168.111.129配置IP报文的下一跳IP地址 probe count 3配置一次NQA测试中进行探测的次数，默认为1次 probe timeout 1000配置NQA探测超时时间，默认为3000ms frequency 1000 #测试频率为1000ms既测试组连续两次测试开始时间的时间间隔为1秒 reaction 1 checked-element probe-fail threshold-type consecutive 6 action-type trigger-only #建立联动项1，既如果连续测试6次失败则触发相关动作 quit # nqa entry G24 1 #创建管理员为G24/操作标签为1的NQA测试组并进入NAQ测试组视图 type icmp-echo destination ip 192.168.222.129 #配置测试操作的目的IP地址 next-hop 192.168.222.129配置IP报文的下一跳IP地址 probe count 3 probe timeout 1000 frequency 1000 reaction 1 checked-element probe-fail threshold-type consecutive 6 action-type trigger-only quit # nqa schedule G23 1 start-time now lifetime forever #启动探测组 nqa schedule G24 1 start-time now lifetime forever #启动探测组 track 1 nqa entry G23 1 reaction 1 #创建于NQA测试组中指定联动项关联的Track 1 track 2 nqa entry G24 1 reaction 1 #创建于NQA测试组中指定联动项关联的Track 2 # 2、配置ACL，对业务流量进行2:1划分（前提是每个VLAN里的用户数基本相等，如果不等再根据实际情况划分）。 acl number 3100 #定义ACL3100 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 1 permit ip source 192.168.2.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 rule 1000 deny ip quit 3、定义策略路由（过程为“定义流分类”---“定义流行为”---“定义QOS策略并关联相应的流分类和流行为”）， traffic classifier 111 operator and #定义流分类111 if-match acl 3100 #匹配ACL3100 quit traffic behavior 222 #定义流行为222. redirect next-hop 192.168.111.129 #如果匹配则数据的下一跳指向192.168.111.129 quit qos policy 333 #定义policy 333 classifier 111 behavior 222 #关联流分类111和流行为222并将刚才设置的应用至QOS策略333中。 quit 4、应用到trunk接口上（和二层交换机连接的各接口上） port-group manual 1-14 #建立group组命名为“1-14” group-member GigabitEthernet 1/0/1 to GigabitEthernet 1/0/14 #将G1/0/1-G1/1/14端口全部加入到group“1-14”里。 qos apply policy 333 inbound #应用策略路由，所以进入到端口的数据都要经过策略路由才能出去。 quit 5、配置Track与默认路由联动（当Track项状态为Positive时，静态路由的下一跳可达，配置的静态路由将生效；当Track项状态为Negative时，静态路由的下一跳不可达，配置的静态路由无效。如果不配置和track联动，那么即使线路断掉，规定的数据还是会走断掉的那条线路，造成部分主机不能上网） ip route-static 0.0.0.0 0.0.0.0 192.168.111.129 track 1 preference 60 ip route-static 0.0.0.0 0.0.0.0 192.168.222.129 track 2 preference 100 分析：配置完成之后，规定的网段（ACL3100）走策略路由出去，下一跳为192.168.111.129；不匹配策略的走优先级高的默认路由ip route-static 0.0.0.0 0.0.0.0 192.168.222.129 track 2 preference 100出去。当左边那条线路出问题后，策略路由和ip route-static 0.0.0.0 0.0.0.0 192.168.111.129 track 1 preference 60失效，数据全部走ip route-static 0.0.0.0 0.0.0.0 192.168.222.129 track 2 preference 100。当右边那条线路出问题后，ip route-static 0.0.0.0 0.0.0.0 192.168.222.129 track 2 preference 100失效，走测路路由的数据不变，其它数据数据走优先级低的默认路由ip route-static 0.0.0.0 0.0.0.0 192.168.111.129 track 1 preference 60出去。这样就实现了线路的负载分担、链路备份功能。 可能会存在的情况：由于S系列三层交换机没有策略路由和Track的联动配置，所以，当左边那条线路真的挂掉了，策略路由真的会失效麽？有待于检测。至于测试结果后期公布。如果真的不会失效，大家有没有更好的解决方法，还请多多指教。