山石网科-Hillstone-PBR（策略路由）挂载URL应用经验分享篇

标签：

近期遇到一个比较普通且具有代表性的案例，特别开森的过来给大家分享下。希望大家多多支持。

特点：新接入ISP出口，将特点URL流量引入到该出口

在网络改造前的多次三方沟通后，我们给出相对完整的接入方案和操作细节，记住，这一点在网络工程师的施工过程中非常重要，必须要有的环节，否则就是极其不专业的做法。

好了，我们上菜。

当前网络拓扑图参考如下：

当前拓扑描述：

1. 网络全冗余结构，接入纯BGP网络，物理分离管理和业务线路

2. 网络边缘使用A/P模式部署

3. 核心交换使用华为S9300系列虚拟化部署（CSS）

4. 负载均衡使用思杰的netscaler高可用部署

5. 接入使用S5700堆叠部署

6. 未开启STP
   

当前拓扑优势：

自上而下不存在任何单点故障节点，标准企业级DC部署套餐

当前改造背景：

问题分析：当前出口BGP线路访问特定USA区域、韩国存在较频繁的丢包情况和大量延迟抖动，影响业务平台调用，既而影响业务部门的投诉。

新增需求分析：单独接入国际方向优化线路，使用tunnel或者专线的方式互联，将特定目标URL主机流量引入国际方向线路。

方案敲定：最终选型定位思科1841加一台扩展卡槽，部署使用VRRP模式接入核心交换区域，确保全局网络结构冗余结构不受破坏。再通过交换PBR全局挂载，使需求实现。参考图例如下：

当前拓扑描述：

省略（大家自己理解，我发现我太啰嗦了）

好，开始进入实施阶段。等等，出现问题了！！！！！！大问题。

1. URL是域名，交换机的PBR只能指定IP地址，若域名存在智能解析（目前常见的异地灾备的必聊技术），就存在多个IP地址，或者域名本身就部署在一个pppoe获取的服务器上，又或者一个nat-pool
   

2. 当前的交换机版本不支持写PBR，（PBR的配置窗口无法tab出来，打售后了解需要升级！！！）

3. 客户不允许做任何中断的调整

紧急与用户协商解决办法。最后我提议将HK-ROUTER接入到防火墙上（防火墙产商山石网科（hillsotne）），在详细参考配置手册后，该防火墙PBR是可以写URL的，瞬间不方了！！web-ui配置参考如下：

PS：在目标中填入需要访问的域名。大赞！！

好，经过紧急协商修改后，我们的拓扑图变成了下面这个样子。

拓扑描述：

1. 通过防火墙互联新增的HK-ROUTER

2. 使用hillstone-PBR做需求实现
   

好了，这里也算是虚惊一场，我们开始实施了。结果也证明，前面的会议和讨论以及规划是非常重要的，实施阶段非常顺利。

链接特定线路的HK-ROUTER配置思路：

1. 物理专线接入router，缺省路由指定HK侧

2. 做一段subnet供用户使用

参考图例如下：

防火墙的CLI配置截图：-【部分关键参数已和谐，这里再次提醒大家，大家做分享做经验总结固然好，不过一定要保护好雇主的隐私和商业机密，否则会吃官司甚至进牢房】

pbr-policy "HK-router" vrouter "trust-vr"-------PBR的定义和规则配置

  match id 1

    src-ip 172.19.0.0/16

    dst-host "ap2.x.com"

    dst-host "ap1.x.com"

    dst-host "login.x.com"

    service "Any"

    nexthop 202.1.2.3

  exit

exit

ip vrouter "trust-vr"----------将PBR绑定在全局虚拟路由器上

  bind pbr-policy "HK-router"

web-ui配置截图参考如下：

PS：这里提一下，我们在很多时候，都会潜意识下理解，PBR是挂在在接口下的。因为这里使用的防火墙，挂载时候也需要注意。当然也支持挂在接口，甚至支持挂载安全域，山石防火墙还是很牛X的

至此，我们的配置结束了，不过我们发现了访问有问题，为什么呢，防火墙嘛，肯定比交换机的PBR配置会多几个地方的配置。

1.域间策略放行

2.可达路由（来回）

3.NAT

大家参考如下图例理解：

结合上面提到的三个问题展开：

1. 域间策略放行（S:DMZ  D:HK）补充完配置即可

2. 可达路由
   HK-ROUTER并没有回指路由 172.19.0.0/16 103.10.1.2，这也就说明我们需要同行的话，必须使用NAT了。（与HK侧的沟通，不允许调整，只能自己去想办法，我晕，香港的运营商就是这么87，我服）

3. NAT方向，从DMZ到HKzone，这里大家一定要理解这个方向问题，因为在防火墙运维经验中，我总结了一条，如果流量的方向你没弄明白，或者基本对这个没感觉，那几本会被防火墙玩惨的。

根据以上分析，我们补充了如下配置：【我使用文字描述】

1.将172.19.0.0/16访问目标域名，nat为出接口103.10.1.2

最后用户测试通过，皆大欢喜。心理暗爽！！！找项目经理要加班费去了！！！哈哈

最后再送给各位一句话，做网络工程师，一定记住细心是成功的关键！！！

                                      ——————————来自一家二级运营商的网工分享

本文出自 “Allen在路上-从零到壹” 博客，转载请与作者联系！

山石网科-Hillstone-PBR（策略路由）挂载URL应用经验分享篇

标签：

原文地址：http://allen686.blog.51cto.com/6758434/1861015