Am un EdgeRouter ER-8 cu următoarea configurație: 3 WAN-uri (eth0 este ISP1, eth1 este ISP2, eth2 este o legătură fără fir către un alt campus cu propriul său ISP și este folosit pentru a accesa LAN la distanță și ca a treia și uplink numai pentru failover); și 2 rețele locale locale (eth6-192.168.1.1/24; eth7-172.18.16.1/22).
Tocmai a fost adăugat LAN-ul pe eth6. Un router moștenit independent a eșuat și am decis să integrăm acel LAN în serviciile de bază. Echilibrul de încărcare este configurat și funcționează conform așteptărilor, pentru clienții de pe ambele rețele LAN. PBR este configurat, dar se pare că funcționează doar pentru clienții de pe eth7, și nu pentru clienții de pe a doua LAN, pe eth6.
Am creat câteva grupuri de adrese, astfel încât să forțez IP-urile listate pe primul, să folosească întotdeauna ISP1/eth0, iar pe cele listate pe al doilea, să folosească ISP2/eth1.
Dacă adaug IP-uri din rețeaua 172.18.16.0/22 la liste, totul funcționează așa cum trebuie. Dacă adaug IP-uri din rețeaua 192.168.1.0/24, acești clienți continuă să revină la comportamentul implicit (lb-group G).
Regulile 95 și 96 ale paravanului de protecție fac defectarea, dar prin monitorizarea statisticilor (arată statisticile de modificare a paravanului de protecție) Mi-am dat seama că cererile de la IP-uri (în grupurile de adrese) din rețeaua 172... ating acele reguli, DAR cererile de la IP-uri (din nou, în exact aceleași grupuri de adrese) din rețeaua 192... nu.
Am verificat acest lucru și executând watch -n 1 'curl api.ipify.org' pe clienții din ambele rețele. Cei de pe rețeaua 172... arată IP-ul ISP-ului corespunzător, în timp ce cei de pe cealaltă rețea arată IP-uri alternative (adică respectă într-adevăr parametrii de echilibrare a încărcăturii).
Ce-mi lipsește? Trebuie să fie ceva ce nu văd sau nu aplic la interfața eth6.
Orice ajutor este mult apreciat.
Iată configurația mea:
firewall {
activare all-ping
dezactivare broadcast-ping
grup {
grup de adrese OUT-WAN-ETH0 {
adresa 192.168.1.251
descrierea „Ieșire prin eth0”
}
grup de adrese OUT-WAN-ETH1 {
adresa 192.168.1.252
descriere „Ieșire prin eth1”
}
grup de rețea Old_LAN {
descriere „Rețele vechi”
rețeaua 192.168.1.0/24
}
grup de rețea PRIVATE_NETS {
reteaua 172.18.16.0/22
reteaua 172.18.20.0/22
reteaua 172.18.24.0/29
reteaua 172.18.24.8/29
reteaua 172.18.24.16/29
rețeaua 192.168.1.0/24
}
port-group servicios_proxy {
portul 80
portul 443
portul 873
portul 11194
portul 22
}
}
ipv6-receive-redirects dezactivat
ipv6-src-route dezactivat
ip-src-route dezactivat
log-martians dezactivează
modifica soldul {
regula 10 {
modificarea acțiunii
descriere „NU încărcați echilibrul lan to lan”
destinație {
grup {
grup de rețea PRIVATE_NETS
}
}
modifica {
tabel principal
}
}
regula 20 {
modificarea acțiunii
descrierea „NU încărcați adresa publică a destinației de echilibrare”
destinație {
grup {
grup de adrese ADDRv4_eth0
}
}
modifica {
tabel principal
}
}
regula 30 {
modificarea acțiunii
descrierea „NU încărcați adresa publică a destinației de echilibrare”
destinație {
grup {
grup de adrese ADDRv4_eth1
}
}
modifica {
tabel principal
}
}
regula 40 {
modificarea acțiunii
descrierea „NU încărcați adresa publică a destinației de echilibrare”
destinație {
grup {
grup de adrese ADDRv4_eth2
}
}
modifica {
tabel principal
}
}
regula 95 {
modificarea acțiunii
descriere „Ieșire prin WAN-eth0”
modifica {
lb-group WAN-eth0
}
sursă {
grup {
grup de adrese OUT-WAN-ETH0
}
}
}
regula 96 {
modificarea acțiunii
descriere „Ieșire prin WAN-eth1”
modifica {
lb-group WAN-eth1
}
sursă {
grup {
grup de adrese OUT-WAN-ETH1
}
}
}
regula 110 {
modificarea acțiunii
modifica {
lb-grupa G
}
}
}
nume WAN_IN {
drop-acțiune implicită
descriere „WAN către intern”
enable-default-log
regula 10 {
acțiune accepta
descriere „Permite stabilit/relativ”
stat {
activat stabilit
activare aferentă
}
}
regula 20 {
acțiune accepta
descriere v-proxy
destinație {
adresa 192.168.1.253
grup {
port-group servicios_proxy
}
}
dezactivare jurnal
protocol tcp_udp
}
regula 40 {
picătură de acțiune
descriere „Renunțați la starea nevalidă”
stat {
activare nevalidă
}
}
}
nume WAN_LOCAL {
drop-acțiune implicită
descriere „WAN la router”
enable-default-log
regula 10 {
acțiune accepta
descriere „Permite stabilit/relativ”
stat {
activat stabilit
activare aferentă
}
}
regula 30 {
picătură de acțiune
descriere „Renunțați la starea nevalidă”
stat {
activare nevalidă
}
}
}
nume Wireless_backhaul {
drop-acțiune implicită
Descriere ""
regula 10 {
acțiune accepta
descriere „Permiteți backhaul”
destinație {
adresa 0.0.0.0/0
}
dezactivare jurnal
protocol toate
stat {
activat stabilit
dezactivare invalidă
activare nouă
activare aferentă
}
}
regula 20 {
picătură de acțiune
descriere „Renunțați la starea nevalidă”
dezactivare jurnal
protocol toate
stat {
dezactivare stabilită
activare nevalidă
noua dezactivare
dezactivarea aferentă
}
}
}
dezactivarea redirecționărilor de primire
activare trimitere-redirecționări
dezactivarea validării sursei
activați syn-cookie-urile
}
interfețe {
ethernet eth0 {
adresa dhcp
descriere WAN1
dhcp-opțiuni {
actualizare implicită a rutei
default-route-distance 3
serverul de nume fără actualizare
}
duplex automat
firewall {
în {
nume WAN_IN
}
local {
nume WAN_LOCAL
}
}
viteza automata
}
ethernet eth1 {
adresa dhcp
descriere WAN2
dhcp-opțiuni {
actualizare implicită a rutei
default-route-distance 3
serverul de nume fără actualizare
}
duplex automat
firewall {
în {
nume WAN_IN
}
local {
nume WAN_LOCAL
}
}
viteza automata
}
ethernet eth2 {
adresa 172.18.24.1/29
descriere Wireless-SB448-In
duplex automat
firewall {
în {
nume Wireless_backhaul
}
local {
nume Wireless_backhaul
}
afară {
nume Wireless_backhaul
}
}
viteza automata
vif 2 {
adresa 172.18.24.10/29
descriere Wireless-SB448-out
firewall {
în {
nume Wireless_backhaul
}
local {
nume Wireless_backhaul
}
afară {
nume Wireless_backhaul
}
}
}
vif 3 {
adresa 172.18.24.18/29
descriere Wireless-SB448-LAN
firewall {
în {
nume Wireless_backhaul
}
local {
nume Wireless_backhaul
}
afară {
nume Wireless_backhaul
}
}
}
}
ethernet eth6 {
adresa 192.168.1.1/24
descriere LAN-vechi
duplex automat
firewall {
în {
modifica echilibrul
}
}
viteza automata
}
ethernet eth7 {
adresa 172.18.16.1/22
descriere LAN
duplex automat
firewall {
în {
modifica echilibrul
}
}
viteza automata
}
loopback lo {
}
}
echilibru de încărcare {
grupa G {
exclude-local-dns dezactivat
activare flux-on-activ
gateway-update-interval 1
interfață eth0 {
ruta-test {
numara {
eșec 3
succes 2
}
întârziere inițială 1
intervalul 2
tip {
ping {
tinta 8.8.4.4
}
}
}
greutate 100
}
interfață eth1 {
ruta-test {
numara {
eșec 3
succes 2
}
întârziere inițială 1
intervalul 2
tip {
ping {
tinta 8.8.8.8
}
}
}
greutate 100
}
interfață eth2.2 {
doar pentru failover
ruta-test {
numara {
eșec 3
succes 5
}
întârziere inițială 1
intervalul 2
tip {
ping {
tinta 172.18.24.9
}
}
}
greutate 1
}
activare lb-local
lb-local-metric-change dezactivați
lipicios {
activare dest-addr
activare adresă sursă
}
}
grup WAN-eth0 {
activare exclude-local-dns
activare flux-on-activ
gateway-update-interval 5
interfață eth0 {
ruta-test {
întârziere inițială 1
intervalul 10
tip {
ping {
tinta 8.8.8.8
}
}
}
greutate 100
}
lb-local dezactivare
lb-local-metric-change dezactivați
lipicios {
activare dest-addr
activare adresă sursă
}
}
grup WAN-eth1 {
activare exclude-local-dns
activare flux-on-activ
gateway-update-interval 5
interfață eth1 {
ruta-test {
întârziere inițială 1
intervalul 10
tip {
ping {
tinta 8.8.8.8
}
}
}
greutate 100
}
lb-local dezactivare
lb-local-metric-change dezactivați
lipicios {
activare dest-addr
activare adresă sursă
}
}
}
protocoale {
static {
ruta 0.0.0.0/0 {
next-hop 172.18.24.9 {
descriere "SB448"
distanta 5
}
next-hop 192.168.2.254 {
descriere "ISP2"
distanta 4
}
}
ruta 172.18.20.0/22 {
next-hop 172.18.24.17 {
descriere LAN-SB448
distanta 2
}
}
}
}
servicii {... OMIS ...}
sistem {... OMIS ...}
