一、组网需求

       多宿主网络能够为企业提供更好的链路可靠性和更高的性能，可靠性的提高来自于多条链路的使用，而性能提高则是因为同时使用多条链路增加了带宽。在通信过程中,为了提高网络性能和可靠性，需要合理的设置链路保障。

       本示例中，将模拟双链路环境使用PC1通过VPN网关双链路出口进行动态NAT转换实现双链路自动备份功能。

 

 

二、网络拓扑

VPN

Eth0:192.168.2.21/24 gw:192.168.2.232

Eth2:192.168.1.21/24 gw:192.168.1.232

Eth1:192.168.21.1

路由器

Eth2:192.168.2.232

Eth1:192.168.1.232

Eth0:192.168.232.1

PC1

IP:192.168.21.248 gw:192.168.21.1

PC2

IP:192.168.232.208gw:192.168.232.1

 

三、配置要点

       1、配置正确的接口IP。

       2、配置外出网关

       3、配置链路保障策略

 

四、配置步骤

1、选择【网络管理】à【网络接口】，设置eth2为主链路，eth0为备份链路；

配置VPN eth0口（192.168.2.0/24网段）外出链路权重为100

2、配置VPN eth2口（192.168.1.0/24网段）外出链路权重为200

3、选择【网络管理】à【链路保障】，

4、查看链路状态，确认链路权重是否正确

链路保障模式：选择【链路备份】

注意：选择链路备份时，权重高的链路若处于活跃状态，则所有连接均会通过其进行分发，若该链路处于不活跃状态，则所有连接会通过权重低得备份链路进行分发，直至该链路活跃状态恢复为止。

探测地址：填写各外出链路均可达到的地址，192.168.232.208

注意：此处需要配置一个各外出链路均可到达的探测IP，以供程序后台判断各外出的状态是否为“活跃”；此处探测原理为后台发送ICMP探测报文，每30秒对探测地址进行一次探测，若收到回应则继续等待30秒进行下一次探测，若未收到回应，则会以10秒为间隔连续探测3次，若均为收到回应，则认为该链路不通，并将其活跃状态设置为“否”，直至下一个30秒探测成功为止。

工作状态：启用

开启自动启用：勾选

 

5、在访问控制模块，为PC1开启访问外网的动态NAT规则（按接口自动转发），使得PC1可以同时访问到外网192.168.1.0/24网段和192.168.2.0/24网段

位置:【1】

源转换类型：【按转发接口自动转换】

 

五、配置验证

此次测试主要以PC1通过VPN多链路ping访问路由器后方PC2为例，验证多链路备份效果

在PC2上使用wireshark进行抓包观察，过滤抓取192.168.1.21和192.168.2.21的IP报文，以判断PC1是通过哪条链路访问到本地。（ip.addr == 192.168.1.21 || ip.addr == 192.168.2.21）

在PC1上访问PC2

C:\Documents and Settings\Administrator>ping 192.168.232.208 -t

 

Pinging 192.168.232.208 with 32 bytes of data:

 

Reply from 192.168.232.208: bytes=32 time=1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

在PC2上可以抓包看到，PC1是通过VPN网关权重高的接口eth1访问过来

此时断开VPNeth2接口网线，使得VPN到192.168.1.232不可达，查看链路保障中eth2外出链路状态活跃状态为【否】，此时再次使用PC1访问PC2，

C:\Documents and Settings\Administrator>ping 192.168.232.208 -t

 

Pinging 192.168.232.208 with 32 bytes of data:

 

Reply from 192.168.232.208: bytes=32 time=1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

在PC2上进行抓包观察，可以看到此时PC1已经转到VPN网关备份接口eth0访问过来

重新连接VPN主链路eth2接口网线（此时eth2接口链路活跃状态转换为【是】），等待30秒待PC1上次ping通信连接超时，再次使用PC1访问PC2

C:\Documents and Settings\Administrator>ping 192.168.232.208 -t

 

Pinging 192.168.232.208 with 32 bytes of data:

 

Reply from 192.168.232.208: bytes=32 time=1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

Reply from 192.168.232.208: bytes=32 time<1ms TTL=62

在PC2上抓包观察，通信已经切换回主链路过来