码迷,mamicode.com
首页 > Web开发 > 详细

山石网科-Hillstone-PBR(策略路由)挂载URL应用经验分享篇

时间:2016-10-12 14:30:21      阅读:544      评论:0      收藏:0      [点我收藏+]

标签:

近期遇到一个比较普通且具有代表性的案例,特别开森的过来给大家分享下。希望大家多多支持。

特点:新接入ISP出口,将特点URL流量引入到该出口

 

在网络改造前的多次三方沟通后,我们给出相对完整的接入方案和操作细节,记住,这一点在网络工程师的施工过程中非常重要,必须要有的环节,否则就是极其不专业的做法。

 

好了,我们上菜。

 

当前网络拓扑图参考如下:

技术分享

当前拓扑描述:

  1. 网络全冗余结构,接入纯BGP网络,物理分离管理和业务线路

  2. 网络边缘使用A/P模式部署

  3. 核心交换使用华为S9300系列虚拟化部署(CSS)

  4. 负载均衡使用思杰的netscaler高可用部署

  5. 接入使用S5700堆叠部署

  6. 未开启STP


当前拓扑优势:

自上而下不存在任何单点故障节点,标准企业级DC部署套餐


当前改造背景:

问题分析:当前出口BGP线路访问特定USA区域、韩国存在较频繁的丢包情况和大量延迟抖动,影响业务平台调用,既而影响业务部门的投诉。


新增需求分析:单独接入国际方向优化线路,使用tunnel或者专线的方式互联,将特定目标URL主机流量引入国际方向线路。


方案敲定:最终选型定位思科1841加一台扩展卡槽,部署使用VRRP模式接入核心交换区域,确保全局网络结构冗余结构不受破坏。再通过交换PBR全局挂载,使需求实现。参考图例如下:

技术分享

当前拓扑描述:

省略(大家自己理解,我发现我太啰嗦了)


好,开始进入实施阶段。等等,出现问题了!!!!!!大问题。


  1. URL是域名,交换机的PBR只能指定IP地址,若域名存在智能解析(目前常见的异地灾备的必聊技术),就存在多个IP地址,或者域名本身就部署在一个pppoe获取的服务器上,又或者一个nat-pool

  2. 当前的交换机版本不支持写PBR,(PBR的配置窗口无法tab出来,打售后了解需要升级!!!)

  3. 客户不允许做任何中断的调整


紧急与用户协商解决办法。最后我提议将HK-ROUTER接入到防火墙上(防火墙产商山石网科(hillsotne)),在详细参考配置手册后,该防火墙PBR是可以写URL的,瞬间不方了!!web-ui配置参考如下:

技术分享

PS:在目标中填入需要访问的域名。大赞!!


好,经过紧急协商修改后,我们的拓扑图变成了下面这个样子。

技术分享

拓扑描述:

  1. 通过防火墙互联新增的HK-ROUTER

  2. 使用hillstone-PBR做需求实现


好了,这里也算是虚惊一场,我们开始实施了。结果也证明,前面的会议和讨论以及规划是非常重要的,实施阶段非常顺利。


链接特定线路的HK-ROUTER配置思路:

  1. 物理专线接入router,缺省路由指定HK侧

  2. 做一段subnet供用户使用

参考图例如下:

技术分享


防火墙的CLI配置截图:-【部分关键参数已和谐,这里再次提醒大家,大家做分享做经验总结固然好,不过一定要保护好雇主的隐私和商业机密,否则会吃官司甚至进牢房

pbr-policy "HK-router" vrouter "trust-vr"-------PBR的定义和规则配置

  match id 1

    src-ip 172.19.0.0/16

    dst-host "ap2.x.com"

    dst-host "ap1.x.com"

    dst-host "login.x.com"

    service "Any"

    nexthop 202.1.2.3

  exit

exit

ip vrouter "trust-vr"----------将PBR绑定在全局虚拟路由器上

  bind pbr-policy "HK-router"


web-ui配置截图参考如下:

技术分享

PS:这里提一下,我们在很多时候,都会潜意识下理解,PBR是挂在在接口下的。因为这里使用的防火墙,挂载时候也需要注意。当然也支持挂在接口,甚至支持挂载安全域,山石防火墙还是很牛X的


至此,我们的配置结束了,不过我们发现了访问有问题,为什么呢,防火墙嘛,肯定比交换机的PBR配置会多几个地方的配置。

1.域间策略放行

2.可达路由(来回)

3.NAT


大家参考如下图例理解:

技术分享

结合上面提到的三个问题展开:

  1. 域间策略放行(S:DMZ  D:HK)补充完配置即可

  2. 可达路由
    HK-ROUTER并没有回指路由 172.19.0.0/16 103.10.1.2,这也就说明我们需要同行的话,必须使用NAT了。(与HK侧的沟通,不允许调整,只能自己去想办法,我晕,香港的运营商就是这么87,我服)

  3. NAT方向,从DMZ到HKzone,这里大家一定要理解这个方向问题,因为在防火墙运维经验中,我总结了一条,如果流量的方向你没弄明白,或者基本对这个没感觉,那几本会被防火墙玩惨的。


根据以上分析,我们补充了如下配置:【我使用文字描述】

1.将172.19.0.0/16访问目标域名,nat为出接口103.10.1.2


最后用户测试通过,皆大欢喜。心理暗爽!!!找项目经理要加班费去了!!!哈哈


最后再送给各位一句话,做网络工程师,一定记住细心是成功的关键!!!

                                      ——————————来自一家二级运营商的网工分享


本文出自 “Allen在路上-从零到壹” 博客,转载请与作者联系!

山石网科-Hillstone-PBR(策略路由)挂载URL应用经验分享篇

标签:

原文地址:http://allen686.blog.51cto.com/6758434/1861015

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!