双线接入故障自动切换方案--完整版-v2.1--new

常用网络项目案例 棕鹰 原创  1 / 14  双线接入故障自动切换方案（完整版v2.1） 在如今，各城市大一些的企业对接入互联网的可靠性要求越来越高，且在满足双线接入备份的同时，也要求当单条连入ISP的线路出现故障之后，访问互联网的流量自动切换到另一备份线路上，从而实现网络接入的可靠性和故障的快速恢复性。由于此需求被越来越多的公司所关注和应用，故在此对这一需求的解决方案进行分析与研究。环境与需求分析：先研究一个环境相对简单的案例（案例1） 内网有两个网段，连接到三层交换机（PC连接的二层交换机在此略）。三层交换连接到两个网关路由器，两路由器分别接入ISP1和ISP2两个不同运营商，实现双线接入和备份。由于各ISP均使用各自申请的公有IP，所以当内部主机访问外网的流量走不同的ISP时，通过PAT技术转换成对应的公网地址（出接口的IP）。在满足以上双线接入运营商需求的同时，要求在单个ISP出现故障时能将出网的流量切换到另一个ISP，保障网络故障的自动和快速的恢复，从而进一步提高网络接入的可靠性（在此只研究接入线路一主一备，对于双线同时相互备份的案例就留在后面再分析与研究）。网络环境见以下图所示： 在这里重点要说明的是：Server为Internet中的WEB服务器，IP地址为100.1.1.1，此地址也是线路故障自动切换的测试地址，其它设备的角色在这里就略，相信看图自知。双线接入并不难，难的就是怎样去探测接入Internet的网络的畅通情况，根据探测到的畅通情况来决定路由的切换，从而决定流量的走向（因为路由控制和决定着流量的走向的）。在此有一个很好用的技术，叫SLA（ServiceLevelAgreements服务等级协议，又叫服务水平），很多设备生产厂商都支持，下面以cisco设备为例提出以下解决方案：为了使外网互通，在此用OSPF进行路由收敛（而不用BGP，因为我们现在关注的重点不是广域网的网络是怎互联的，而是关注探测接入Internet的网络的畅通情况）。在此案例中，各设备需要配置的内容有： 1.PC1与PC2只需要配置接口IP和网关地址就行，配置略！！；2.ISP1和ISP2，以及Internet只需配置IP和运行OSPF所告所有的接口到OSPF就OK了、Server服务器指一条默认路由到Internet，并让Internet重分布与Server直连网络。因为网络互联不是这里研究的重点，所以OSPF只划一个区域就OK了，由于配置较简单，在此略！！3.在R1和R5上，将连接外网的接口配置OSPF，并分别做PAT，将内网需要进行PAT地址转换的网段做PAT处理，配置如下：常用网络项目案例 棕鹰 原创  2 / 14  R1:interfaceFastEthernet0/0ipaddress202.1.1.1255.255.255.0ipnatoutside!interfaceFastEthernet1/0ipaddress192.168.1.2255.255.255.0ipnatinside!routerospf110router-id1.1.1.1network202.1.1.00.0.0.255area1iproute10.1.1.0255.255.255.0192.168.1.1iproute10.1.2.0255.255.255.0192.168.1.1!ipnatinsidesourcelist1interfaceFastEthernet0/0overload!access-list1permit10.1.1.00.0.0.255access-list1permit10.1.2.00.0.0.255access-list1permit192.168.1.00.0.0.255解释同R5的ACL。R5: interfaceFastEthernet0/0ipaddress192.168.2.2255.255.255.0ipnatinside!interfaceFastEthernet2/0ipaddress202.1.2.1255.255.255.0ipnatoutside!routerospf110router-id5.5.5.5network202.1.2.00.0.0.255area1!iproute10.1.1.0255.255.255.0192.168.2.1iproute10.1.2.0255.255.255.0192.168.2.1!ipnatinsidesourcelist1interfaceFastEthernet2/0overload!access-list1permit10.1.1.00.0.0.255access-list1permit10.1.2.00.0.0.255access-list1permit192.168.2.00.0.0.255因为交换机要探测网络的联通性，所以要对交换机发出探测包的网段进行PAT转换，此条很重要。常用网络项目案例 棕鹰 原创  3 / 14  4.在SW-3L上则需要配置SLA技术，并结合浮动默认路由来完成网络畅通情况的探测和故障线路的切换（通过路由的切换来实现对故障线路的切换），配置如下：SW-3L track20rtr20reachability//将sla策略关联到（编号）track组，并指定可达性的跟踪延迟时间delaydown1为多少seconds为down或up状态（网络可达性）!track30rtr30reachability//解释同上，不同的线路要配置不同的sla策略delaydown1!interfaceFastEthernet1/1noswitchportipaddress192.168.1.1255.255.255.0!interfaceFastEthernet1/5noswitchportipaddress192.168.2.1255.255.255.0!interfaceFastEthernet1/6switchportaccessvlan2!interfaceVlan1ipaddress10.1.1.254255.255.255.0!interfaceVlan2ipaddress10.1.2.254255.255.255.0!iproute0.0.0.00.0.0.0192.168.1.220track20浮动默认路由，指定管理距离为20和关联track策略iproute0.0.0.00.0.0.0192.168.2.2track30同上解释，没有指管理距离为主要路由iproute202.2.2.2255.255.255.255192.168.1.2三层交换机必须有到到探测点的路由，否则探测不通iproute202.2.3.2255.255.255.255192.168.2.2!ipsla20//定义sla策略，指定策略编号，此编号在上面的track事件中被关联icmp-echo202.2.2.2//设置网络畅通探测协议以及探测点timeout2000//指定探测超时为多长时间(ms)可断定为故障已发生frequency3//探测时发包的频率，每秒多少个包ipslaschedule20lifeforeverstart-timenow//激活sla的时间和状态（永远），并关联sla策略编号ipsla30//解释同上，以下略！！icmp-echo202.2.3.2timeout2000frequency3ipslaschedule30lifeforeverstart-timenow常用网络项目案例 棕鹰 原创  4 / 14  测试： 在SW上的路由表中的默认路由见下面： 在SW上做ping 100.1.1.1测试，然后查看线路切换效果： 当手动地将首选的那条路给断开后（在由经的R4的接口0/0上做），可以看出，由于线路断开，SW上配置的主线路的sla马上就探测到网络不通，sla将监控的状态变为down，此时网络会暂时的中断，但很快的路由就切换了，走另一条路，网络恢复畅通；接着将R4的接口变为up，SW上配置的sla马上就探测到主线路网络畅通，此时浮动路由状态切换，路由恢复成原状，在切换的过程中网络同样会有短暂的中断，很快地就恢复了！OK！sla技术探测网络的简单按例就此完成！下面用另一种基于route-map的方式来完成对双线的探测与策略路由（按规定的路径进行路由，优先于路由表的查找处理）：然后，通过route-map技术来完成双线的相互备份（案例2），即： 1.来自于10.1.1.0/24网段的流量走ISP1；2.来自于10.1.2.0/24网段的流量走ISP2；3.当一条路坏了之后，走第二条路，让其互为备份，并实现负载分担；拓扑图同上，除SW-3L设备的配置需要更改之外，其它的设备的配置同上。 常用网络项目案例 棕鹰 原创  5 / 14  SW-3L的配置： track20rtr20reachability//作用解释同上delaydown1!track30rtr30reachability//作用解释同上delaydown1!interfaceFastEthernet1/1noswitchportipaddress192.168.1.1255.255.255.0!interfaceFastEthernet1/5noswitchportipaddress192.168.2.1255.255.255.0!interfaceVlan1ipaddress10.1.1.254255.255.255.0ip policy route-map isp1 //将route-map应用到vlan1（不可弄错，因为要影响来!源于此网段的流量，此接口为此网络的网关）interface Vlan2ipaddress10.1.2.254255.255.255.0 ip policy route-map isp2//解释同上--vlan1的应用!在这里要注意的是：因为要让route-map的策略路由（下一跳的指向）先于路由表中路由（下一跳的指向），所以要应用于内网的接口上，而不能应用在出接口（外网接口）上，否则将达不到此效果。!ip route 0.0.0.0 0.0.0.0 192.168.1.2//由于策略路由会优于默认路由处理，所以在此不需要配置这两ip route 0.0.0.0 0.0.0.0 192.168.2.2  条默认路由，只需要网关路由器R1/5可达外网目的地就行了iproute202.2.2.2255.255.255.25