企业网、企业网银

不仅仅是IDC，企业园区网为保证网络出口的冗余可靠性或者特殊的需求，一般会选择多运营商接入。除了专门的负载均衡设备，可以基于一些策略来实现基本的链路负载和高可用，对于网络老司机都是轻车熟路仅分享给入门的网络工程师小伙伴和需要的其他IT同行。本次基于实验由易至难来演示实际工作中用到的多ISP运营商接入的网络出口设计：

实验拓扑

· 拓扑说明：

仅为演示多出口设计，为简化配置路由器核心交换机分别使用一台，多设备冗余可参考之前分享的文章：（ 园区网设计）

Router为园区网出口路由器接入运营商，地址分别为：CT:1.100.1.2/29、CU：2.200.1.2 ；

Win-1和Win-2分别模拟内网2个网段用户：192.168.1.100/24、192.168.2.1/24；

· 设计思路：

1. 输出口1:1流量自动负载；

2. 基于源IP手动选择出口；

3. 监控外网链路网络质量，自动切换出口；

4. 基于目的地址的运营商选择出口ISP；

一、 简单的1:1流量自动负载：适用于出口带宽大小基本一致，用户对运营商无特殊要求的设计：

CoreSwitch：

//配置Client所需DHCP Server
ip dhcp pool VLAN100
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 114.114.114.114
!
ip dhcp pool VLAN200
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 114.114.114.114
//起OSPF进程并将与router的接口以及内网的vlan宣告进OSPF，以便Router能基于IGP获取内网回程路由：
router ospf 1
router-id 10.1.1.2
//配置网关地址
interface Vlan100
ip address 192.168.1.1 255.255.255.0
ip ospf 1 area 0
!
interface Vlan200
ip address 192.168.2.1 255.255.255.0
ip ospf 1 are 0
interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
duplex auto
!
interface Ethernet0/1
no switchport
ip address 10.1.1.2 255.255.255.252
ip ospf 1 area 0
duplex auto

Win1及Win2自动获取到的地址：

Win-1 DHCP地址

Win-2 DCHP地址

Router：

/匹配需要做NAT的内网地址
ip access extend PAT
10 permit ip 192.168.0.0 0.0.255.255 any
ip access extend PAT-CT
10 permit ip 192.168.0.0 0.0.255.255 any
//以上ACL的内网地址基于e0/1、e0/2做PAT
ip nat inside source list PAT interface e 0/2 overload
ip nat inside source list PAT-CT interface Ethernet0/1 overload
//两条默认路由负载均衡
ip route 0.0.0.0 0.0.0.0 1.100.1.1
ip route 0.0.0.0 0.0.0.0 2.200.1.1
//PAT的内网接口
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.252
ip nat inside
ip virtual-reassembly in
ip ospf 1 area 0
!
//PAT的外网接口
interface Ethernet0/1
ip address 1.100.1.2 255.255.255.248
ip nat outside
ip virtual-reassembly in
!
interface Ethernet0/2
ip address 2.200.1.2 255.255.255.248
ip nat outside
ip virtual-reassembly in

二、 基于源IP选择出口ISP，以上是最简单的最缺乏控制的双出口方式，当两条出口带宽大小不同，或者用户对运营商有要求，则需要使用route-map来详细的分流，例如：Vlan100 使用CT，Vlan200使用CU.

Router：

//匹配vlan100和vlan200的内网地址
ip access-list extended PAT-CT
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended PAT-CU
permit ip 192.168.2.0 0.0.0.255 any
!
!
//基于内网地址设置下一跳接口地址
route-map PAT-CU permit 10
match ip address PAT-CU
set ip next-hop 2.200.1.1
!
route-map PAT-CT permit 10
match ip address PAT-CT
set ip next-hop 1.100.1.1
!
//PAT配置
ip nat inside source route-map PAT-CT interface Ethernet0/1 overload
ip nat inside source route-map PAT-CU interface Ethernet0/2 overload

可以查看NAT的转换效果：

查看NAT

三、 以上解决了对特定用户选择不同运营商的问题，但是如果某条链路出问题，无法切换到另外一条链路。需要联动SLA/NQA+Track实现链路故障后的切换：

Router：

\匹配所有内网，到两条ISP出口的PAT，方便一条ISP故障后切换能正常转换。
ip access extend NAT1
permit ip any anyip access extend NAT2
permit ip any any
ip nat inside source list NAT1 interface e 0/1 overload
ip nat inside source list NAT2 interface e 0/2 overload
ip sla 100
//使用CT地址探测公网114.114.114.114
icmp-echo 114.114.114.114 source-ip 1.100.1.2
//探测时间
Frequency 5
//阈值，抖动可选
threshold 6000
//丢包时间可选
Timeout 5000
//启用SLA100
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-echo 114.114.114.114 source-ip 2.200.1.2
frequency 5
threshold 1000
timeout 5000
ip sla schedule 200 life forever start-time now
//检测SLA的状态
track 100 ip sla 100 reachability
track 200 ip sla 200 reachability
//在入接口使用PBR，使VLAN100-CT,并基于Track去检测，如果track100正常则基于CT作为出口，如果Track100有问题，则检测track200可用性，如果可用则选用CU
route-map PAT permit 10
match ip address PAT-CT
set ip next-hop verify-availability 1.100.1.1 1 track 100
set ip next-hop verify-availability 2.200.1.1 2 track 200
//在入接口使用PBR，使VLAN200-CU,并基于Track去检测，如果track200正常则基于CU作为出口，如果Track200有问题，则检测track100可用性，如果可用则选用CT
route-map PAT permit 20
match ip address PAT-CU
set ip next-hop verify-availability 2.200.1.1 1 track 200
set ip next-hop verify-availability 1.100.1.1 2 track 100
//在入接口调用PBR
Interface e0/0
ip policy route-map PAT

简单测试：

· 正常测试Win-1的路径：

Win-1路径

CT出口

· 关闭CT的e0/1但是Router的e0/1至CT链路正常，，Sla状态timeout，Track100检测到链路故障，Track 200 up，自动切换至CU：

Sla状态

Track 100 timeout

Route-Map状态

Win-1切换至CU出口：

Win-1测试

Router的PAT转换

PAT转换表

4、 基于目的地址的运营商选择出口ISP，类似F5的内置地址库，首先匹配不同运营商的目的地址，基于PBR做PAT，类似方法三：

比如我们统计到：1.101.1.0/16、 1.102.1.0/16、3.101.1.0/16、96.101.1.0/16等等为电信地址，参考配置如下：

Router：

ip access-list extend CT
permit 10 ip any 1.101.1.0 0.0.255.255
permit 20 ip any 1.102.1.0 0.0.255.255
permit 30 ip any 3.101.1.0 0.0.255.255
permit 40 ip any 96.101.1.0 0.0.255.255
route-map CT permit 10
match ip address CT
match interface e 0/1

当然现实中电信的路由经过汇总也会在6000条以上，并且运营商每次汇总会有出入，如果想做到精确的基于目的地址的出口运营商ISP选择，还是要使用专门的负载设备，例如F5的GTM，之前在的文章F5的基本原理和配置已做介绍。

以上为常用企业网多出口的配置，仅供初学者参考，如有问题欢迎讨论。