电信网通双线备份自动切换配置.doc

电信网通双线备份自动切换配置 2008-09-13 06:42:32 　标签：网络 路由　　　[推送到技术圈] 电信网通双线备份自动切换配置 RouterOS 2.9中路由规则增加的两点功能： 1、在RouterOS 2.9路由规则中增加了check-gateway的功能，能检测到网关的线路状态，如果网关无法探测到，便认为网关无法连接，会自动禁止访问网关的数据通过，check-gateway功能的探测时间为10s一个周期。 2、在RouterOS 2.9中具备了对缺省网关的判断，在RouterOS 2.9的任何一个路由表中只能存在一个缺省网关，即到任何目标地址为0.0.0.0/0，没有做路由标记（routing-mark）的规则,如果存在另一个缺省网关则认为是错误，路由将不予以执行。如下图： 从上图我们可以看到，所有访问电信的IP段从10.200.15.1出去，其他的数据走网通的缺省网关出去，在我们可以这些网关的前缀都为“AS”，即确定的静态路由，而在第二排可以看到蓝色一行，他也是一个缺省网关，但因为一个路由表中只能存在一个缺省网关，所有前缀为“S”即静态但不确定的网关，被认为位非法的。如果当202.112.12.12.11网关断线，则10.200.15.1会自动启用，变为缺省路由，实现现在的切换，如下： 当202.112.12.11断线后，check-gateway在10s一个周期后探测到，并将10.200.15.11设置为缺省路由，如果202.112.12.11正常后，系统也将会将202.112.12.11设置为缺省路由，因为他是先于10.200.15.1添加入路由表中。 源地址双线应用案例 这是一个典型的通过一个路由器并使用两条ISP线路接入的环境（比如都是两条电线的ADSL或者LAN接入）： 当然，你可以选择负载均衡！这里有多种方法可以选择，只是根据你的环境，选择最适合你解决方案。 基于用户端IP地址的策略路由 如果你有很多的主机地址，你可以通过IP地址将他们分组。这时，指定源IP地址，发送的传输通过ISP1或者ISP2的网关出去。让我们假设终端电脑的网络地址段为192.168.100.0/24，IP分配如下： · 192.168.100.1-127分配到A组 · 192.168.100.128-253 分配到B组 · 192.168.100.254路由器本地IP地址（即内网的网关） 现在，我们通过子网划分的方式，将终端电脑进行分组： · A组为192.168.100.0/25，地址范围：192.168.100.0-127 · B组为192.168.100.128/25，地址范围：192.168.100.128-255 如果你不能理解，请你查阅TCP/IP的相关教材或通过网上查找相关的子网划分资料！我们需要添加两个ip firewall mangle的规则，标记来至A组和B组终端电脑的数据包。 定义A组： 链表为chain=prerouting，源地址：src-address=192.168.100.0/25 操作为Action=mark routing并定义新的路由标记GroupA. 最好做一个注释，以便以后便于你自己或者别人查看和处理。 定义B组： 链表为chain=prerouting，源地址：src-address=192.168.100.128/25 操作为Action=mark routing并定义新的路由标记GroupB 所有来至终端电脑的IP传输都通过路由标记为GroupA或者GroupB。这样我们可以标记到路由表中（routing table）。 下面，我们需要定义两个默认路给相应的路由标记和网关： 到这里，如果你没有对路由器做NAT的伪装，请在/ip firewall nat里添加src- Address=192.168.100.0/24 action=masquerade,在终端电脑上测试一下跟踪路由是否正确定义两个分组的默认路由： A组测试如下情况： C:\>tracert -d 8.8.8.8 Tracing route to 8.8.8.8 over a maximum of 30 hops 1 2 ms 2 ms 2 ms 192.168.100.254 2 10 ms 4 ms 3 ms 10.1.0.1 ... B组测试如下情况： C:\>tracert -d 8.8.8.8 Tracing route to 8.8.8.8 over a maximum of 30 hops 1 2 ms 2 ms 2 ms 192.168.100.254 2 10 ms 4 ms 3 ms 10.5.8.1 ... 如何做端口的策略路由： MikroTik RouterOS可以支持多种策略路由，如我们常见的源地址、目标地址，同样支持端口的策略路由，多种规则可以根据用户情况配合使用，如下图： 现在我们通过下面的图解一步步实现端口的策略路由： 我们有两个ISP接入的线路，一个是WAN1： 211.162.172.23，一个是WAN2： 218.112.109.27（地址为假设），我们让默认的数据通过WAN1，让访问网页的数据通过WAN2。 现在我们定义访问网页的端口，访问网页的端口是TCP 80端口，我们进入/ip firewall mangle中做数据标记 首先我们标记80端口的连接，标记名为“http”然后我们从这些连接中提取我们想要的数据： 之后我们从标记中提取路由标记，命名为“web”，因为我们在前面的连接标记中做过了passthrough的设置，在这里就不用在重复设置。 然后我们进入/ip route，配置路由我们让标记好的80端口路由去WAN2的线路： 在这里，我们也可以通过/ip route rule来定义端口的规则： 让定义的web标记在一次回到web路由表中去查找网关。 透明传输整形器（Transparent Traffic Shaper） 这个事例将介绍如何配置一个透明传输整形器。透明整形器是建立在一个桥上，能区分和优先考虑什么样的传输通过。 现在考虑下面的网络拓扑： 在这里配置一组队列限制，一个客户端的总的通过量和三个子队列（HTTP、P2P和其他的传输数据），HTTP传输将优先在其他传输之上。 快速配置 配置代码（可以复制到MikroTik RouterOS执行）： / interface bridge add name="bridge1" / interface bridge port add interface=ether2 bridge=bridge1 add interface=ether3 bridge=bridge1 / ip firewall mangle add chain=prerouting protocol=tcp dst-port=80 action=mark-connection \ new-connection-mark=http_conn passthrough=yes add chain=prerouting connection-mark=http_conn action=mark-packet \ new-packet-mark=http passthrough=no add chain=prerouting p2p=all-p2p action=mark-connection \ new-connection-mark=p2p_conn passthrough=yes add chain=prerouting connection-mark=p2p_conn action=mark-packet \ new-packet-mark=p2p passthrough=no add chain=prerouting action=mark-connection new-connection-mark=other_conn \ passthrough=yes add chain=prerouting connection-mark=other_conn action=mark-packet \ new-packet-mark=other passthrough=no / queue simple add name="main" target-addresses=10.0.0.12/32 max-limit=256000/512000 add name="http" parent=main packet-marks=http max-limit=240000/500000 add name="p2p" parent=main packet-marks=p2p max-limit=64000/64000 add name="other" parent=main packet-marks=other max-limit=128000/128000 分析 下面将解释每段代码的具体实现： Bridge / interface bridge add name="bridge1" / interface bridge port add interface=ether2 bridge=bridge1 add interface=ether3 bridge=bridge1 建立一个新的bridge接口，并分配2个以太网卡给他：这样可以在两个网络间实现透明桥的功能 Mangle / ip firewall mangle add chain=prerouting protocol=tcp dst-port=80 action=mark-connection \ new-connection-mark=http_conn passthrough=yes add chain=prerouting connection-mark=http_conn action=mark-packet \ new-packet-mark=http passthrough=no 所有符合TCP端口80及HTTP协议传输的数据，将标记为数据包标记为http ，注意：第一条规则设置为passthrough=yes，第二条为passthrough=no. / ip firewall mangle add chain=prerouting p2p=all-p2p action=mark-connection \ new-connection-mark=p2p_conn passthrough=yes add chain=prerouting connection-mark=p2p_conn action=mark-packet \ new-packet-mark=p2p passthrough=no add chain=prerouting action=mark-connection new-connection-mark=other_conn \ passthrough=yes add chain=prerouting connection-mark=other_conn action=mark-packet \ new-packet-mark=other passthrough=no 同上面所述，P2P传输被标记为数据包标记 p2p 并将剩下的传输标记为other. Queues / queue simple add name="main" target-addresses=10.0.0.12/32 max-limit=256000/512000 创建一个队列，限制所有聪客户端来的流量传输为(指定客户端的target-address)256k/512k. / queue simple add name="http" parent=main packet-marks=http max-limit=240000/500000 add name="p2p" parent=main packet-marks=p2p max-limit=64000/64000 add name="other" parent=main packet-marks=other max-limit=128000/128000 所有子队列排列入main 父系, 因此所有的带宽流量不会超过指定的main 队列注意：http 队列优先级高于其他队列，级HTTP流量将优先考虑。 如果配置到电信网通的流量控制 对于电信和网通的IP地址段是已知，那么我们可以通过通过地址标记来实现对这些地址的流量控制，首先我们将电信和网通的地址段导入RouterOS的address-list中（可以在下载到） 通过import命令，导入地址列表： 导入后我们可以在/ip firewall address-list中找到： 配置数据标记mangle 进入/ip firewall mangle设置，这里我们定义访问电信的流量控制，我们的内网地址段为192.168.0.0/24，所有这里我们配置源地址src-address=192.168.0.0/24。在mangle中先标记连接，然后在从连接中提取数据包： 定义标记类型： 源代码： / ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 dst-address-list=Telecom action=mark-connection new-connection-mark=Telecom passthrough=yes comment="" disabled=no 现在从标记的连接Telecom中提取数据包： 源代码： / ip firewall mangle add chain=prerouting connection-mark=Telecom action=mark-packet new-packet-mark=TEL passthrough=no comment="" disabled=no 配置simple queue 现在我们进入/queue simple对列中配置流控规则，在这里我们把到电信的带宽控制在1M上行和2M下行 源代码： / queue simple add name="telecom" dst-address=0.0.0.0/0 interface=all parent=none packet-marks=TEL direction=both priority=8 queue=default-small/default-small limit-at=0/0 max-limit=1000000/2000000 total-queue=default-small disabled=no 这样对电信的带宽控制便完成，控制网通带宽同样的 如何实现RouterOS的动态流量控制 在局域网中因为网络带宽的问题，需要对网络流做控制，但又因为做固定的流量控制的时候，会造成在上网空闲时候带宽的浪费，这里我们可以同RouterOS的PCQ算法完成对内部局域网流量的动态分配,如下图所示： 通过上图，我们可以看到当PCQ的速率设定为128k的时候，平均每个用户将会得到同样的带宽128k，当上网高峰期的时候PCQ才会做二次流量分配，如果PCQ的速率在开始就设定为0k，这样在一个用户的时候就可以得到全部带宽，之后是2个用户平均分配，依次类推，但最后带宽会控制在73k的范围内，控制最小使用带宽，保证用户正常使用。 首先进入Queue Type中配置PCQ的上行和下行： 在配置PCQ的速率的时候将rate=0，即每个用户不用配置流量速率，下面是down即下行的配置： 同样在上行配置如下： 在配置好Queue Type后我们进入Simple Queue中配置流量控制规则，这里我们的总出口带宽假设为1M，上行带宽为512k，内网地址段为192.168.10.0/24： 接下来配置Interface和Queue Type，选择上行和下行的PCQ类型分别为Up和Down： 这样PCQ的动态流量控制就设定完成了，这样就能实现根据用户数占用流量来动态分配带宽，这样能达到带宽的有效分配和利用。 PPTP借线操作 假设一个接入点A有电信和网通两条线路，并做了以网通为主，电信为静态路由策略设置。而另一个接入点B接入了网通的线路，并且想通过PPTP隧道的方式借用接入点A的电信线路，现在看下面的图例 根据上面的案例，接入点A和B他们都是共同使用了网通的线路，这里网通两个点之间的延迟小于10ms，网络延迟小才能保证足够的网速给B做电信的访问。首先建立从接入点B到A的PPTP隧道，我们在接入点A设置PPTP服务器，在接入点B设置客户端。这里接入点A的网通IP地址为202.112.12.10，B网通地址为202.112.12.12。 配置PPPTP-Server 在接入点A启用PPTP-Server，并设置密码传输的加密类型： 在这里Default-Profile我们采用default-encryption，同样你也可以在PPTP-Server的profiles中创建自己的规则。Keepalive-Timeout是PPTP-Server主动使用ICMP协议探测客户端是否在线，如果客户端使用了防火墙或禁止ICMP探测，那无法探测到客户端，Server就会主动断开该客户端的连接，这个设置需要用户自己根据网络情况判断。 设置Profile定义客户和主机的访问地址： 在这里我们给PPTP-Server分配的IP地址为192.168.100.1(local-address) ，给客户端分配的地址为192.168.100.2(remote-address) 。分配IP地址也可以通过账号设置Secrets进行，在这里我们只有一个客户端所有可以直接通过profile中的规则设置，如果有多个客户端也可以通过/ip pool中的地址池做DHCP的分配。 配置limit参数： 在limit参数中，我们可以看到idle-timeout，这个是客户端在没有流量超过1分钟后，就断开客户端。Rate-limit是对该类用户的流量控制这里设置的上行为512K，下行1M的带宽。最后是only-one该账户是否为唯一，这里设置为yes。 设置客户端的账号密码： 进入secret设置账号和密码以及相关信息，设置好name和password后，选择service服务类型为pptp，profile规则为default-encryption。这样PPTP-Server就已经设置完成。 配置PPTP-Client 完成PPTP服务设置后，现在开始设置接入点B的PPTP-Client，进入PPP选项添加PPTP-Client： 进入dial-out设置PPTP拨号信息，在server-address的地址为202.112.12.10级接入点A的网通地址： 设置账号和密码分别为cdnat，设置完成后，便可以与接入点A的PPTP-Server连接。 路由配置 在这里接点A和B都做了IP地址的NAT转换，且接点A已经做了电信的静态路由规则，即A点可以实现访问网通和电信的分流，在A点不需要在做任何设置。B点就需要指定通过AB两点间的PPTP隧道到电信的线路，他指定的网关为A点的PPTP的IP地址（192.168.100.1） 设置电信访问的网关： 通过编辑电信的路由脚本，并导入路由表中，则实现了通过PPTP隧道使用A接入点的电信线路，完成了借线功能