摘要:大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:1、交换机/路由器疑难故障处理方案2、网络架构优化与安全防护实战技巧3、中小企业低成本智能组网案例解析长按【收藏】 搭建你的专属运维知识库,点亮文末小红心,激励飞哥创作更多硬核内容。
大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:
1、交换机/路由器疑难故障处理方案
2、网络架构优化与安全防护实战技巧
3、中小企业低成本智能组网案例解析
点亮文末小红心,激励飞哥创作更多硬核内容。
特别提醒:网络运维问题常有突发性,建议将本文加入收藏,遇到设备配置、链路故障、卡顿、数据丢包等问题时,随时可调取解决方案!
前几天,一家做电商运营的小型公司给我打电话,说他们办公室“彻底断网”了。
“不是说我们有两条宽带吗?怎么主备都挂了?!” 老板声音里带着急躁,运维人员一脸懵圈。
现场一查,网络是通过一台华为 AR 路由器拨号上网,采用双拨配置,主链是电信,备链是联通。但问题来了——主链确实掉线了,可备链压根就没接管,整个公司办公系统全瘫痪,售前售后都炸了。
我登录设备一看,Dialer 接口配置倒是齐活了,但 display dialer 一查,两个接口都绑定了相同的拨号编号。拨号表混乱,NAT失效,BFD监控形同虚设。
原来配置时图省事,主备拨号都写成 dialer number 1,路由器根本分不清谁是谁,问题就这么来了……
1. 定位问题根源:拨号编号冲突
首先执行 display dialer:
[Core-1]display dialerDialer1 - dialer type = Dialer Dialer number 1 Dialer2 - dialer type = Dialer Dialer number 1这里的 Dialer1 和 Dialer2 都绑定了同一个拨号号段 1,导致拨号会话不明确,主备链路切换失败。再配合 NAT 与 BFD,整体机制被打乱。
2. 紧急恢复操作:快速修正拨号编号
我第一时间将 Dialer2 的拨号编号改为 2:
[Core-1]interface Dialer2[Core-1-Dialer2]undo dialer number[Core-1-Dialer2]dialer number 2 autodial确认接口拨号正确绑定:
[Core-1]interface GigabitEthernet0/0/1[Core-1-GigabitEthernet0/0/1]PPPoE-client dial-bundle-number 1[Core-1]interface GigabitEthernet0/0/2[Core-1-GigabitEthernet0/0/2]pppoe-client dial-bundle-number 2重新拨号后,主备都恢复正常。
3. 根治策略冲突:优化 NAT 和路由跟踪
NAT acl 没问题,但绑定逻辑要统一:
acl number 2000 rule 5 permitinterface Dialer1 nat outbound 2000interface Dialer2 nat outbound 2000路由策略:
ip route-static 0.0.0.0 0.0.0.0 Dialer1 track bfd-session lnwyfip route-static 0.0.0.0 0.0.0.0 Dialer2BFD 配置一目了然,主用 Dialer1 的状态实时监测:
bfd lnwyf bind peer-ip 8.8.8.8 interface Dialer1 one-arm-echo discriminator local 1234详情如下:
网络拓扑:
配置过程
注:
关于组网部分,这里因篇幅原因省略,如有需要可通过文章板块查找相关文章,这里只演示双线拨号部分
1、核心出口路由配置
#出口路由配置PPPOE 自动拨号上网, sysname Core-1#启用 BFD(Bidirectional Forwarding Detection),用于快速检测链路故障。bfd# 创建编号为 2000 的访问控制列表(ACL),该编号范围为 2000~2999,表示基础ACL(可用于NAT等)。acl number 2000 rule 5 permit #进入拨号接口 Dialer1,用于配置 PPPoE 拨号参数。interface Dialer1 link-protocol ppp ppp chap user huawei1 ppp chap password cipher %$%$Ovr/$n"E\F:=kSFGh"nU,&\e%$%$ ip address ppp-negotiate dialer user hcie1 dialer bundle 1 dialer number 1 autodial nat outbound 2000#进入拨号接口 Dialer2,用于配置 PPPoE 拨号参数。interface Dialer2 link-protocol ppp ppp chap user huawei2 ppp chap password cipher %$%$xB}mR0EMsU8w/C+2}1s~,"{\%$%$ ip address ppp-negotiate dialer user hcie2 dialer bundle 2 dialer number 2 autodial nat outbound 2000interface GigabitEthernet0/0/0 ip address 192.168.20.1 255.255.255.0 #开启PPPoE客户端功能,并绑定拨号组1,通常连接到ISP提供的接入网。interface GigabitEthernet0/0/1 pppoe-client dial-bundle-number 1 interface GigabitEthernet0/0/2 pppoe-client dial-bundle-number 2 #通过发送BFD探测报文来检测和监控 Dialer1 到 8.8.8.8 的连通性。bfd lnwyf bind peer-ip 8.8.8.8 interface Dialer1 one-arm-echo discriminator local 1234 commit#配置静态默认路由指向 Dialer1, 带 BFD 会话跟踪。 若 `lnwyf` BFD 监控失败,则此默认路由失效,实现主备切换。ip route-static 0.0.0.0 0.0.0.0 Dialer1 track bfd-session lnwyfip route-static 0.0.0.0 0.0.0.0 Dialer2#回路由ip route-static 192.168.2.0 255.255.255.0 192.168.20.2ip route-static 192.168.3.0 255.255.255.0 192.168.20.2ip route-static 192.168.4.0 255.255.255.0 192.168.20.2ip route-static 192.168.10.0 255.255.255.0 192.168.20.22、运营商部分
为了复盘实验的完整性,这里简单的对运营商部分了做了简要的配置,
#电信ISP部分#生产环境中,这部分由运营商自己设置,我们不需要设置,但为了实验的完整性,这里也对其进行了配置。sysname telecomip pool HCIE gateway-list 100.1.1.1 network 100.1.1.0 mask 255.255.255.0 aaa local-user huawei1 password cipher %$%$bpG|W+6MMJ>mkbWo{bdJTr%p%$%$ local-user huawei1 service-type pppinterface Virtual-Template10 ppp authentication-mode chap remote address pool HCIE ip address 100.1.1.1 255.255.255.0 interface GigabitEthernet0/0/0 pppoe-server bind Virtual-Template 10interface LoopBack0 ip address 8.8.8.8 255.255.255.255 # 联通ISP 部分sysname unicomip pool HCIE gateway-list 200.1.1.1 network 200.1.1.0 mask 255.255.255.0 aaa local-user huawei2 password cipher %$%$~aOV>~pq8H;7oHVP{]#0TzOl%$%$ local-user huawei2 service-type pppinterface Virtual-Template10 ppp authentication-mode chap remote address pool HCIE ip address 200.1.1.1 255.255.255.0 interface GigabitEthernet0/0/0 pppoe-server bind Virtual-Template 10interface LoopBack0 ip address 8.8.8.8 255.255.255.255像这次,dialer number 虽然语法合法,但逻辑错误,一旦拨号重试或者切链,就全崩了。
这事让我想起一句话——“配置不能只图快,要先走脑子”。
客户网络恢复后我一个人坐在办公室,顺手在笔记本写下这句提醒自己:
配置之前先规划,尤其是双链、NAT、BFD 这些涉及状态迁移的模块,一步错,满盘乱。
功能模块核心配置与说明拨号接口区分Dialer1 绑定编号1,Dialer2 必须绑定编号2pppoe-clientGE0/0/1 对应 Dialer1,GE0/0/2 对应 Dialer2用户认证ppp chap user/password 配置认证账户NAT 出口两个拨号接口都需配置 NAT outbound,ACL 必须明确BFD 快速检测配置 BFD one-arm-echo,目标IP为公网可达地址(如8.8.8.8)通过配置双链路拨号上网+自动切换+BFD监控,可以大大提高网络的稳定性和容错能力。然而,必须确保主备链路的配置不冲突,合理运用路由和 NAT 策略,以及 BFD 进行链路的实时监控。希望这篇文章对有需要的友友有所帮助。
如果你在实际部署过程中遇到任何问题,欢迎留言讨论。
来源:极客运维社
