路由器双出口负载分担并NAT及互为备份

H3C AR 18-21路由器产品介绍H3C AR 18-21路由器是华为3Com公司开发的新一代专业的宽带路由器，它将路由和交换设备有机地结合在一起，为中小企业和网吧提供交换及接入的一体化解决方案。

AR 18-21宽带路由器采用全新的硬件和软件平台，具备更高的数据转发性能和数据加密性能，并且其4个交换网口支持VLAN划分。

该产品功能特性丰富，并支持Web网管、端口镜像等特性，AR 18-21宽带路由器是中小企业和网吧等用户的理想选择。

产品特点多WAN口（1-3个WAN口），支持负载分担和端到端线路检测的备份机制（Auto-detect）高处理性能，CPU主频从200M到400M，带机数量高支持端口镜像、Web网管、DDNS和防BT等功能特征交换端口支持VLAN划分，带S的机型支持硬件加密功能◆路由和交换一体化AR 18-21路由器产品支持4个不等的交换以太网接口，这是一种典型的路由器集成交换机的路由交换一体化产品，特别适合中小企业、企业分支机构和网吧等的综合应用组网。

18-21有4个10/100M以太网交换端口，这些产品的交换端口均支持VLAN的划分，可以满足大多数中小企业的组网及隔离不同业务的要求。

用户只需一台交换路由器，无需购买交换机设备，便可实现多用户接入Internet，节约用户网络建设的费用、增强用户应用的方便性。

AR 18-21具有1个10/100M以太网WAN接口，可实现单出口线路的通信。

这完美地解决了中小企业和网吧用户实现双线路或多线路的通信接入中的负载分担和备份的问题。

◆VPN解决方案AR 18-21路由器集成了VPN网关的功能，通过在路由器上面建立VPN隧道，可以将远程分支机构通过Internet安全、廉价地接入总部网络。

因此对于有大量分支机构需要接入总部的企业，可以用VPN技术来代替昂贵的专线接入。

支持L2TP VPN、GRE VPN、IPSec VPN，轻松的实现企业的各种类型的VPN接入要求。

H3C 双互联网接入负载分担及备份【解决方案及配置实例】#version 5.20, Alpha 1011#sysname H3C#bfd echo-source-ip 1.1.1.1#acl number 3000rule 0 permit ip source 192.168.1.0 0.0.0.255acl number 3001rule 0 permit ip source 192.168.2.0 0.0.0.255#interface Ethernet0/1/0port link-mode routeip address 192.168.100.254 255.255.255.0ip policy-based-route internet#interface Ethernet0/1/1port link-mode routeip address 10.10.10.1 255.255.255.0#interface Ethernet0/1/2port link-mode routeip address 10.10.20.1 255.255.255.0#policy-based-route internet permit node 1if-match acl 3000apply ip-address next-hop 10.10.10.254 track 1policy-based-route internet permit node 2if-match acl 3001apply ip-address next-hop 10.10.20.254 track 2#ip route-static 0.0.0.0 0.0.0.0 10.10.10.254 track 1ip route-static 0.0.0.0 0.0.0.0 10.10.20.254 track 2ip route-static 192.168.0.0 255.255.0.0 192.168.100.1#track 1 bfd echo interface Ethernet0/1/1 remote ip 10.10.10.254 local ip 10.10.10.1track 2 bfd echo interface Ethernet0/1/2 remote ip 10.10.20.254 local ip 10.10.20.1配置案例1.10 双WAN接入路由配置目前越来越多的企业和网吧采用双WAN上行接入的方式，这种组网方式既可以实现链路的负载分担又可以实现链路的动态备份，受到用户的普遍欢迎。

路由器实现网络负载均衡的三种模式“负载均衡”概念运用在网络上，简单来说是利用多个网络设备通道均衡分担流量。

就像是寺庙一天要挑10桶水，1个尚必需要走10趟，但同时指派10个和尚却只要一趟即可完成工作的道理一样。

负载均衡可运用多个网络设备同时工作，达成加速网络信息的处理能力，进而优化网络设备的性能，取代设备必须不停升级或淘汰的命运。

目前普遍被运用在网络设备中，如服务器、路由器、交换机等。

目前提出的三种不同的负载均衡模式，可较全面的包含各种网络架构中所应采取措施，三种模式分别是：模式一：智能型负载均衡智能型负载均衡模式，是依据接入WAN端带宽的大小比例，自动完成负载均衡工作，进一步协助达成带宽使用率的优化目的。

Qno侠诺在智能型负载均衡模式中，提供了联机数均衡与IP均衡两种选择。

联机数均衡是依据WAN端带宽大小比例，将内网所有的联网机数作均衡分配。

例如WAN1接入4M、WAN2接入2M，则联机数就会依据2:1分配。

此种配置是网管员最一般的配置模式。

而IP均衡模式是为了避免某些网站（EX银行网站或HTTPS类型的网站），只能接受来自同一个公网IP的所发出封包的瓶颈。

如果采用联机数负载均衡模式，会发生该IP所发出的访问封包不一定是从固定WAN口流出，造成特定网站拒绝服务，导致断线的情况发生。

如果采用IP均衡，让IP依据WAN端带宽大小进行比例均衡分配，例如WAN1与WAN2的带宽比例为2:1，则PC1、PC2走WAN1，PC3走WAN2，PC4、PC5走WAN1……，即可达到同一个内网PC 所发出的应用服务封包，都从固定的WAN口（公网IP）流出，而整体内网IP也会依据带宽大小比例，自动进行均衡配置。

此种配置比较适合常常需要进入特定网站时选择。

模式二：指定路由指定路由比起智能型负载均衡而言，是保留了更多的自由设定弹性与例外原则。

由于智能型负载均衡是针对整体内网联机数或是整体IP进行均衡分配。

并不能个别指定某种应用服务、某个特定IP、某个特定网址，通过哪个WAN口出去。

电信、移动网络双出口解决方案网络双出口解决方案在这互联网时代，信息数据的传输至关重要，这时网络连接的可靠性对一个企业而言将尤为重要，而我们一般企业现有的都是单线路（链路）连接生产网络就变得不那么给力，一旦线路故障，整个业务就瘫痪了，这将严重地影响了一个企业的生产经营。

这时我们就应该考虑来解决单线路所面临的问题。

面对双线路的几种解决方案，应该如何在解决方案中选择将是接下来我们要谈论的。

一、传统的主备线路解决方案这是ICG网关打造了双出口网络：1. 电信线路为主线路，出口IP为6.16.5.6；2. 移动线路为备线路，出口IP为2.17.1.24；3. 对内连接4台PC，分别是PC1—PC4，ICG连接这些PC的内部VLAN地址是192.168.1.1。

主备线路解决方案是最容易实现的：1. 电信出口默认路由优于移动出口默认路由，因此在电信线路连接正常情况下，所有PC都是从电信线路访问生产网络；2. 当电信线路发生故障，那么电信出口默认路由失效，移动出口默认路由生效，所有PC切换到移动线路访问生产网络。

如上图所示，电信线路故障，所有PC都从移动线路访问生产网络。

这种方案虽然可行，但是，因为这2条线路在同一时刻只能使用1条，而我们将要同时为2条线路付费的，同时使用2条线路又不能增加带宽来获得更完美的带宽体验。

所以我们对传统解决方案将需要改进，我们需要让传统解决方案变得更紧实一些。

二、让2条线路都用起来的解决方案——等价路由在传统的解决方案中，电信、移动两条默认路由是不等价的，而是主备，电信的优于移动，如果要让2条线路都用起来，那么我们很容易想到使用等价路由，即电信、移动的默认路由是一视同仁的，选择谁做出口都一样，这个看起来的确要比传统解决方案要好一点。

在ICG网关正确的调度下，这2条链路的确都可以利用起来，而且流量可以近似于平分秋色，那这么做是不是就可以达到我们所期望的呢？我不得不说，选择这项解决方案可能过不久又会面临很多问题，有些页面会打不开，这时还不如用传统解决方案呢。

负载分担方式
负载分担方式主要是为了在多台路由器中避免设备闲置，同时提高网络可靠性。

常见的负载分担方式有以下几种：
1.流式负载分担：在能够实现快速转发功能之后，只能进行流式负载分担。

举例来说，当前设备上存在两个等价路由，如果其中一个数据流通过，则会从其中一个进行转发；如果其中一个数据流通过，则会分别转发这两个等价路由。

2.负载分担：在快速转发功能关闭后，进行基于报文的负载分担，将待发送的报文平均分配到两个等价路由上。

3.负载分摊基于带宽：在快速转发功能关闭时，消息按接口物理带宽进行负载分摊（即基于消息的负载分摊）；在用户为该接口配置了指定的负载带宽时，设备按用户指定的接口带宽进行负载分摊，即按照接口物理带宽的比例关系进行分配。

4.基于报文内容进行负载分担：在多台路由器上建立不同的备份组，每个备份组中包括一个主用路由器和若干个备用路由器，主用路由器不一定要相同。

在备份组内的路由器根据优先级不同可以分别担任主用和备用角色。

这种方式简化了主机的配置，同时可以在某台路由器出现故障时仍然提供高可靠的缺省链路，有效避免单一链路发生故障后网络中断的问题。

双wan口路由器工作原理
双WAN口路由器是一种网络设备，它具有两个WAN口（Wide Area Network，广域网口），可以连接到两个不同的互联网服务提供商（ISP）或者同一个ISP的不同连接。

双WAN口路由器的工作原理涉及到负载均衡和容错备份两个主要方面。

首先，让我们来看看负载均衡的工作原理。

当双WAN口路由器接收到网络数据时，它会根据预先设定的策略，将数据流量分配到不同的WAN口上。

这样可以实现对网络流量的分流，从而达到负载均衡的效果。

负载均衡可以使网络流量在多个连接之间均匀分布，避免某一条线路过载，提高整体网络的稳定性和性能。

其次，双WAN口路由器还具备容错备份的功能。

如果其中一个WAN口的连接出现故障或者断开，路由器可以自动切换到另一个可用的WAN口，确保网络连接的可靠性和稳定性。

这种容错备份的机制可以保证即使一个连接出现问题，网络服务仍能够继续运行，提高了网络的可用性。

另外，双WAN口路由器通常还具有智能流量管理功能，可以根据网络流量的特点和需求，对数据进行优化和调度，提高网络的利
用率和性能。

此外，双WAN口路由器还可以支持虚拟专用网络（VPN）功能，实现远程访问和安全通信等应用。

总的来说，双WAN口路由器通过负载均衡和容错备份的机制，
实现了对多个网络连接的有效管理和利用，提高了网络的可靠性、
稳定性和性能。

这种路由器在企业和需要高可用性网络的场合具有
重要的应用意义。

思科路由器双WAN口负载分担并NAT及互为备份说明：客户接入ISP1及ISP2，内部有4 个网段分别是：192.168.10.0/24192.168.20.0/2410.10.10.0/2420.20.20.20/24正常模式为192.168.10.0和10.10.10.0两个网段优先走ISP1，192.168.20.0和202.20.20.0两个网段优先走ISP2。

当IPS1线路中断时（即使R3接IPS1的接口是UP）192.168.10.0和10.10.10.0两个网段会自动转到ISP2，ISP2中断时同亦。

下面是拓扑图，及各台设备的配置文档，在GNS3上模拟测试成功。

（在网络上一直是伸手党，现在也分享下自己的经验，有不当之处还请指教，谢谢）分别在R1、R2均配置loopback 0 1.1.1.1/32为测试对象,R3为边界路由器，配置最多放在最后R1R1#sh runBuilding configuration...Current configuration : 761 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R1!boot-start-markerboot-end-marker!!no aaa new-model!!ip cefno ip domain lookup!!interface Loopback0ip address 1.1.1.1 255.255.255.255!interface FastEthernet0/0ip address 11.11.11.3 255.255.255.248duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 11.11.11.0 255.255.255.248 11.11.11.1 !no ip http serverno ip http secure-server!control-plane!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronousstopbits 1line aux 0stopbits 1line vty 0 4!endR2R2#sh runBuilding configuration...Current configuration : 761 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R2!boot-start-markerboot-end-marker!!no aaa new-model!!ip cefno ip domain lookup!!interface Loopback0ip address 1.1.1.1 255.255.255.255!interface FastEthernet0/0ip address 22.22.22.3 255.255.255.248duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 22.22.22.0 255.255.255.248 22.22.22.1 !no ip http serverno ip http secure-servercontrol-plane!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronousstopbits 1line aux 0stopbits 1line vty 0 4!endR4R4#SH RUNBuilding configuration...Current configuration : 755 bytes!version 12.4service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption!hostname R4!boot-start-markerboot-end-marker!!no aaa new-model!!ip cefno ip domain lookup!!!!!!!!!!!!!!!!!!!!!!!interface Loopback0ip address 10.10.10.10 255.255.255.0 !interface FastEthernet0/0ip address 192.168.10.10 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.10.1 !no ip http serverno ip http secure-server!!!!!!control-plane!!!!!!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronousstopbits 1line aux 0stopbits 1line vty 0 4!!endR5R5#SH RUNBuilding configuration...Current configuration : 757 bytes!version 12.4service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption!hostname R5!boot-start-markerboot-end-marker!!no aaa new-model!!ip cefno ip domain lookup!!!!!!!!!!!!!!!!!!!!!!!interface Loopback0ip address 20.20.20.20 255.255.255.0 !interface FastEthernet0/0ip address 192.168.20.20 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.20.254 !no ip http serverno ip http secure-server!!!!!control-plane!!!!!!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronousstopbits 1line aux 0stopbits 1line vty 0 4!!endR6R6#SH RUNBuilding configuration...Current configuration : 1548 bytes!version 12.4service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption!hostname R6!boot-start-markerboot-end-marker!no aaa new-model!resource policy!memory-size iomem 5ip cef!!!!no ip domain lookup!!!!!!!!!!!!!!!!!!!!!!!interface FastEthernet0/0 no ip addressshutdownduplex autospeed auto!interface FastEthernet0/1 no ip addressshutdownduplex autospeed auto!interface FastEthernet1/0switchport mode trunk!interface FastEthernet1/1!interface FastEthernet1/2!interface FastEthernet1/3!interface FastEthernet1/4switchport access vlan 10!interface FastEthernet1/5switchport access vlan 20!interface FastEthernet1/6!interface FastEthernet1/7!interface FastEthernet1/8!interface FastEthernet1/9!interface FastEthernet1/10!interface FastEthernet1/11!interface FastEthernet1/12!interface FastEthernet1/13!interface FastEthernet1/14!interface FastEthernet1/15!interface Vlan1no ip address!interface Vlan10ip address 192.168.10.254 255.255.255.0 !interface Vlan20ip address 192.168.20.254 255.255.255.0!ip route 0.0.0.0 0.0.0.0 192.168.10.1ip route 10.10.10.0 255.255.255.0 192.168.10.10 ip route 20.20.20.0 255.255.255.0 192.168.20.20 !!no ip http serverno ip http secure-server!!!!!!!control-plane!!!!!!!!!!line con 0exec-timeout 0 0logging synchronousline aux 0line vty 0 4!!webvpn context Default_contextssl authenticate verify all!no inservice!!endR6#R3R3#SH RUNBuilding configuration...Current configuration : 2739 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R3!boot-start-markerboot-end-marker!!no aaa new-model!!ip cefno ip domain lookup!!ip sla monitor 1type echo protocol ipIcmpEcho 11.11.11.3 source-interface FastEthernet0/0 frequency 10ip sla monitor schedule 1 life forever start-time nowip sla monitor 2type echo protocol ipIcmpEcho 22.22.22.3 source-interface FastEthernet0/1 frequency 10ip sla monitor schedule 2 life forever start-time now!!!!!!!!!!!!!!!!track 1 rtr 1 reachability!track 2 rtr 2 reachability!!!!!interface FastEthernet0/0ip address 11.11.11.1 255.255.255.248 ip nat outsideip virtual-reassemblyduplex autospeed auto!interface FastEthernet0/1ip address 22.22.22.1 255.255.255.248 ip nat outsideip virtual-reassemblyduplex autospeed auto!interface FastEthernet1/0no ip addressshutdownduplex autospeed auto!interface FastEthernet1/1no ip addressshutdownduplex autospeed auto!interface FastEthernet2/0no ip addressduplex fullinterface FastEthernet2/0.10encapsulation dot1Q 10ip address 192.168.10.1 255.255.255.0ip nat insideip virtual-reassemblyip policy route-map test!ip route 0.0.0.0 0.0.0.0 11.11.11.3ip route 0.0.0.0 0.0.0.0 22.22.22.3ip route 10.10.10.0 255.255.255.0 192.168.10.254ip route 20.20.20.0 255.255.255.0 192.168.10.254ip route 192.168.20.0 255.255.255.0 192.168.10.254!no ip http serverno ip http secure-server!ip nat inside source route-map 1 interface FastEthernet0/0 overload ip nat inside source route-map 2 interface FastEthernet0/1 overload ip nat inside source route-map 3 interface FastEthernet0/1 overload ip nat inside source route-map 4 interface FastEthernet0/0 overload !access-list 10 permit 192.168.10.0 0.0.0.255access-list 10 permit 10.10.10.0 0.0.0.255access-list 20 permit 192.168.20.0 0.0.0.255access-list 20 permit 20.20.20.0 0.0.0.255!route-map test permit 10match ip address 10set ip next-hop verify-availability 11.11.11.3 1 track 1set ip next-hop verify-availability 22.22.22.3 2 track 2!route-map test permit 20match ip address 20set ip next-hop verify-availability 22.22.22.3 1 track 2set ip next-hop verify-availability 11.11.11.3 2 track 1!route-map 1 permit 10match ip address 10match interface FastEthernet0/0!route-map 2 permit 10match ip address 20match interface FastEthernet0/1route-map 3 permit 10 match ip address 10 !route-map 4 permit 10 match ip address 20 !!!!control-plane!!!!!!gatekeepershutdown!!line con 0exec-timeout 0 0logging synchronous stopbits 1line aux 0stopbits 1line vty 0 4!!endR3#。