多出口路由的实现

使用策略路由实现多出口(华为路由器)
在一台路由器上实现不同的网段走不同的网络出口,实现多出口分担 interface Aux0 async mode flow link-protocol ppp # interface Ethernet0/0/0 file://电信网络地址 ip address XXXX 255255255224 nat outbound 2001 # interface Ethernet0/0/1 file://联通网络地址 ip address XXXX 255255255224 nat outbound 2003 # interface Ethernet1/0/0 file://内部网络地址 ip address XXXX 2552552550 ip policy route-policy asyx file://在内网接三层交换机端口上应用策略路由 # interface Ethernet1/0/1 网通网络地址 ip address XXXX 2552552550 # interface NULL0 # acl number 2000 match-order auto file://访问控制列表 rule 0 permit source 20031 00064 rule 1 permit source 2002126 000128 rule 2 permit source 20041 00032 rule 3 deny acl number 2001 match-order auto file://访问控制列表 rule 0 permit source 2003129 00032 rule 1 permit source 2004222 00032 rule 2 permit source 2004129 00064 rule 3 permit source 2006129 00032 rule 4 deny acl number 2002 match-order auto file://访问控制列表 rule 1 permit source 2003129 00032 rule 0 permit source 20061 00064 rule 2 permit source 20051 000128 rule 3 permit source 20070 000255 rule 4 deny # route-policy asyx permit node 1 file://匹配策略 if-match acl 2000 apply ip-address next-hop XXXX route-policy asyx permit node 2 file://匹配策略 if-match acl 2001 apply ip-address next-hop XXXX route-policy asyx permit node 3 file://匹配策略 if-match acl 2002 apply ip-address next-hop XXXX #
# user-interface con 0 user-interface aux 0 user-interface vty 0 4 user privilege level 3 set authentication password cipher ;VFIFBGK<9:,YWXNZ55OA!! # return [yxw_route]

解：大概看懂了楼主的问题，解决方案如下：
1、服务器装2张网卡，其中一张网卡用自己的公网IP（保证能让外网访问服务器），这里暂时叫外网，另一张网卡用原市局的网络IP（这个是保证自己内网的成员可以访问服务器），这里暂时叫内网。
2、 外网的那块网卡需要IP地址、子网掩码、网关、DNS都设置好，首先能保证上外网。 内网的网卡只设置IP地址、子网掩码即可（因为一台电脑不能同时设置两个网关的） 。假设外网IP为：19216818（C类地址），子网掩码：2552552550，网关是：19216811；内网IP为：1721618（B类地址），子网掩码：25525500。
3、设置静态路由，不然会产生IP冲突不能同时上内、外网。方法如下：
第一步：route delete 0000 "删除所有0000的路由"
第二步：route -p add 0000 mask 0000 19216811 "添加0000网络路由"这个是主要的，意思就是你可以上外网。
第三步：route -p add 1721600 mask 255000 1721611 "添加1721600网络路由"，注意mask为255000，而不是25525500，这样内部的多网段才可用。意思是172开头的IP走的网关是：1721611，那么就是内网了。

购买多WAN口的路由器，在WAN口上配置。
方法如下：
（一）硬件连接：
一根网线两端分别接光猫1的LAN口和路由器的WAN1口。
再一根网线两端分别接光猫2的LAN口和路由器的WAN2口。
（二）然后对路由器进行配置
1、打开浏览器，输入19216811（即路由器的IP地址），输入路由器帐号和密码（参见路由器盒子上的标签或说明书）。
2、展开基本配置——WAN口配置
3、选择WAN1，连接类型：选择PPPOE上网。
上行带宽和下行带宽：根据申请宽带不同输入，如申请宽带为10M，就输入10240（101024）。
运营商选择：根据不同的运营商选择
用户名和密码：输入宽带帐号和密码
DNS服务器配置：手动配置
主DNS服务器：输入地区通用DNS
点击保存。
4、然后选择WAN2，输入另一宽带的帐号和密码，其他配置同WAN1。

企业网多出口的情况有如下：

1，单运营商多出口线路

2，多运营商多出口线路

3，某些特殊部门需要独立的出口，不与其他部门共享
单运营商多出口线路可分为两种情况：

1）这两条/多条线路的带宽都是一样的（对于第一种情况，可以采用等价路由的方式实现）

2）这两条/多条线路的带宽不是一样的（可以采购H3C ER这种类型的企业路由器，可以设置出口的权重来解决）

说明：如果两/多条线路的带宽不一致。那么总带宽取决于最慢的那条带宽。例如现有两天线路分别为10mbps和20mbps，那么总带宽是“102mbps”。
多运营商多出口线路的方式是最复杂的情况。同时可用性也是最高的。

这种情况使用网络层的负载均衡是不能解决的。例子如下：

假设LAN指向的DNS是20296128166（广东电信DNS服务器）。假设要访问taobaocom，那么整个公司访问淘宝都会走电信的线路。达不到负载均衡的效果。所以该种情况的解决方案要使用网络层+应用层的负载均衡方式：运营商地址块静态路由+LVS（多DNS负载均衡）。

这个时候，不同的主机访问taobaocom时，会随机访问到不同的Local DNS（LVS轮询的效果）。然后再通过出口的静态路由走不同的线路以达到效果。例如用户1访问百度时会解析到电信的IP、用户2访问百度时会解析到联通的IP、用户3访问百度时会解析到移动的IP。
DNS部署架构如下：
说明：

LVS设置为DR模式。3台企业办公网Local DNS部署在同一个VLAN内，为一个DNS集群，对于客户端来说仅显示为一台DNS服务器。DHCP服务器在给用户分配TCP/IP参数时，仅把LVS的VIP作为DNS分配给用户即可。

LVS之间用keepalived确保高可用（原理是VRRP）。

3台DNS的上级DNS设置为各自运营商的本地Local DNS。例如“DNS cache only（电信）”这台服务器可以把DNS请求转发给2029612886（广东电信Local DNS）。

如果要节约成本，可以使用两台PC机+KVM的方式搭建，成本极低。
网络架构如下：
对于某些部门/员工无休止的带宽需求，在不违背信息安全策略的前提下可以让其申请独立的出口带宽。

（这个解决方案可能会带来安全问题，例如上网行为管理、审计、数据泄漏等）

网络拓扑图如下：
说明：

这个方案的前提是需要为特殊需要的部门或者主机划分一个独立的IP网段（建议）。以在策略路由交换机上做策略路由。把出口指向独享的宽带线路。

为了降低成本。可以使用一台普通PC，采购一块性能较好的千兆网卡。然后在上面部署KVM平台。在KVM上安装多台pfense防火墙。成本极低。

该方案需要另外考虑安全问题。（例如上网行为审计等。）

---