山石網科-Hillstone-PBR（策略路由）掛載URL應用經驗分享篇

標籤：

近期遇到一個比較普通且具有代表性的案例，特別開森的過來給大家分享下。希望大家多多支援。

特點：新接入ISP出口，將特點URL流量引入到該出口

 

在網路改造前的多次三方溝通後，我們給出相對完整的接入方案和操作細節，記住，這一點在網路工程師的施工過程中非常重要，必須要有的環節，否則就是極其不專業的做法。

 

好了，我們上菜。

 

當前網路拓撲圖參考如下：

650) this.width=650;" src="http://s4.51cto.com/wyfs02/M01/88/9D/wKioL1f9pXDw8VldAAG3XVNA0UU710.png-wh_500x0-wm_3-wmp_4-s_593577585.png" style="float:none;" title="QQ20161012103938.png" alt="wKioL1f9pXDw8VldAAG3XVNA0UU710.png-wh_50" />

當前拓撲描述：

1. 網路全冗餘結構，接入純BGP網路，物理分離管理和業務線路

2. 網路邊緣使用A/P模式部署

3. 核心交換使用華為S9300系列虛擬化部署（CSS）

4. 負載平衡使用思傑的netscaler高可用部署

5. 接入使用S5700堆疊部署

6. 未開啟STP
   

當前拓撲優勢：

自上而下不存在任何單點故障節點，標準企業級DC部署套餐

當前改造背景：

問題分析：當前出口BGP線路訪問特定USA地區、韓國存在較頻繁的丟包情況和大量延遲抖動，影響業務平台叫用，既而影響業務部門的投訴。

新增需求分析：單獨接入國際方向最佳化線路，使用tunnel或者專線的方式互聯，將特定目標URL主機流量引入國際方向線路。

方案敲定：最終選型定位思科1841加一台擴充卡槽，部署使用VRRP模式接入核心交換地區，確保全域網路結構冗餘結構不受破壞。再通過交換PBR全域掛載，使需求實現。參考圖例如下：

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/88/A0/wKiom1f9pXGDQM6XAAHwiq8xBlY381.png-wh_500x0-wm_3-wmp_4-s_3735957354.png" style="float:none;" title="QQ20161012105037.png" alt="wKiom1f9pXGDQM6XAAHwiq8xBlY381.png-wh_50" />

當前拓撲描述：

省略（大家自己理解，我發現我太囉嗦了）

好，開始進入實施階段。等等，出現問題了！！！！！！大問題。

1. URL是網域名稱，交換器的PBR只能指定IP地址，若網域名稱存在智能解析（目前常見的異地災備的必聊技術），就存在多個IP地址，或者網域名稱本身就部署在一個pppoe擷取的伺服器上，又或者一個nat-pool
   

2. 當前的交換器版本不支援寫PBR，（PBR的配置視窗無法tab出來，打售後瞭解需要升級！！！）

3. 客戶不允許做任何中斷的調整

緊急與使用者協商解決辦法。最後我提議將HK-ROUTER接入到防火牆上（防火牆產商山石網科（hillsotne）），在詳細參考配置手冊後，該防火牆PBR是可以寫URL的，瞬間不方了！！web-ui配置參考如下：

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/88/A0/wKiom1f9qoeg2dlqAABGrzgE62Q657.png-wh_500x0-wm_3-wmp_4-s_3169809142.png" title="QQ20161012111308.png" alt="wKiom1f9qoeg2dlqAABGrzgE62Q657.png-wh_50" />

PS：在目標中填入需要訪問的網域名稱。大讚！！

好，經過緊急協商修改後，我們的拓撲圖變成了下面這個樣子。

650) this.width=650;" src="http://s2.51cto.com/wyfs02/M02/88/9D/wKioL1f9qvjAANenAAHs3zZRics569.png-wh_500x0-wm_3-wmp_4-s_3136452415.png" title="QQ20161012111502.png" alt="wKioL1f9qvjAANenAAHs3zZRics569.png-wh_50" />

拓撲描述：

1. 通過防火牆互聯新增的HK-ROUTER

2. 使用hillstone-PBR做需求實現
   

好了，這裡也算是虛驚一場，我們開始實施了。結果也證明，前面的會議和討論以及規劃是非常重要的，實施階段非常順利。

連結特定線路的HK-ROUTER配置思路：

1. 物理專線接入router，預設路由指定HK側

2. 做一段subnet供使用者使用

參考圖例如下：

650) this.width=650;" src="http://s2.51cto.com/wyfs02/M00/88/9D/wKioL1f9rxXjpI9PAACYrk4d8Aw957.png-wh_500x0-wm_3-wmp_4-s_1286851061.png" title="QQ20161012113154.png" alt="wKioL1f9rxXjpI9PAACYrk4d8Aw957.png-wh_50" />

防火牆的CLI配置：-【部分關鍵參數已和諧，這裡再次提醒大家，大家做分享做經驗總結固然好，不過一定要保護好僱主的隱私和商業機密，否則會吃官司甚至進牢房】

pbr-policy "HK-router" vrouter "trust-vr"-------PBR的定義和規則配置

  match id 1

    src-ip 172.19.0.0/16

    dst-host "ap2.x.com"

    dst-host "ap1.x.com"

    dst-host "login.x.com"

    service "Any"

    nexthop 202.1.2.3

  exit

exit

ip vrouter "trust-vr"----------將PBR綁定在全域虛擬路由器上

  bind pbr-policy "HK-router"

web-ui配置參考如下：

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/88/A1/wKiom1f9s8eS_TD5AABWBQuQF6Y455.png-wh_500x0-wm_3-wmp_4-s_2142324255.png" title="QQ20161012115228.png" alt="wKiom1f9s8eS_TD5AABWBQuQF6Y455.png-wh_50" />

PS：這裡提一下，我們在很多時候，都會潛意識下理解，PBR是掛在在介面下的。因為這裡使用的防火牆，掛載時候也需要注意。當然也支援掛在介面，甚至支援掛載安全域，山石防火牆還是很牛X的

至此，我們的配置結束了，不過我們發現了訪問有問題，為什麼呢，防火牆嘛，肯定比交換器的PBR配置會多幾個地方的配置。

1.域間策略允許存取

2.可達路由（來回）

3.NAT

大家參考如例理解：

650) this.width=650;" src="http://s4.51cto.com/wyfs02/M01/88/9E/wKioL1f9r_WRDD_hAAC05AK64oY231.png-wh_500x0-wm_3-wmp_4-s_1064561290.png" title="3.png" alt="wKioL1f9r_WRDD_hAAC05AK64oY231.png-wh_50" />

結合上面提到的三個問題展開：

1. 域間策略允許存取（S:DMZ  D:HK）補充完配置即可

2. 可達路由
   HK-ROUTER並沒有回指路由 172.19.0.0/16 103.10.1.2，這也就說明我們需要同行的話，必須使用NAT了。（與HK側的溝通，不允許調整，只能自己去想辦法，我暈，香港的電訊廠商就是這麼87，我服）

3. NAT方向，從DMZ到HKzone，這裡大家一定要理解這個方向問題，因為在防火牆營運經驗中，我總結了一條，如果流量的方向你沒弄明白，或者基本對這個沒感覺，那幾本會被防火牆玩慘的。

根據以上分析，我們補充了如下配置：【我使用文字描述】

1.將172.19.0.0/16訪問目標網域名稱，nat為出介面103.10.1.2

最後使用者測試通過，皆大歡喜。心理暗爽！！！找專案經理要加班費去了！！！哈哈

最後再送給各位一句話，做網路工程師，一定記住細心是成功的關鍵！！！

                                      ——————————來自一家二級電訊廠商的網工分享

本文出自 “Allen在路上-從零到壹” 部落格，轉載請與作者聯絡！

山石網科-Hillstone-PBR（策略路由）掛載URL應用經驗分享篇