高密星网关(NBR)常用配置

最新编辑 2021-05-12

高密星网关(NBR)常用配置

 出口配置

在高密星场景中,可能会有几十到几百个终端的流量经过出口的NBR。终端流量经过NBR出口后会以NBR的出口IP为源IP访问对端服务;终端访问的对端服务可能会因为同一个IP有太多的终端同时访问,判定这些终端存在刷机行为,从而封禁该终端或者IP;为了降低被封禁风险,需要限制同一个出口IP只能分配给有限的几个终端,同时要有足够的带宽保证大量终端的出口流量需求。

目前常用的配置方式有以下三种:

①一线多播:NBR开启一线多播,使用多个PPPoE账号,在同一条光纤上进行拨号,从而获取多个出口IP;

②WAN口子接口拨号:把多条光纤接入交换机,再从交换机连到NBR的WAN口,NBR进行WAN口子接口拨号,每个拨号都会获取一个出口IP;

③专线连接:接入几条专线,保证上网带宽,终端通过连到VPN服务器的方式来获取不同的出口IP(VPN服务器的相关配置和NBR无关)。

下面分别对三种接入方案中NBR的配置进行分析。

1、 一线多播

开启一线多播

NBR的WEB配置页面开启一键多拨功能

 

注意:一线多拨,也就是一个物理口只有一根线接入运营商,因此上面的账号都是同一个运营商,不同的运营商请配置在不同的物理口上。

添加PPPOE账号

选中线路连接的物理口,将接口类型修改为“PPPoE(ADSL)”

 

点击“添加拨号线路”,将从运营商获取的PPPoe账号和密码等信息填入

 

配置完成后,可以查看个PPPoE链路的连接状态等信息

 

2、 WAN口子接口拨号

在接口配置中,选择对应的物理口,点击“管理子接口”。(此时需要关闭“一线多拨”)

 

新增子接口,选择PPPoE类型,填入对应的账号、密码、带宽等信息,这里的VLAN ID需要和上联交换机连接对应PPPoE线路的VLAN ID一致。

 

添加完成后可以查看状态

 

注意

1)设置NBR拨号子接口的MAC地址时,不要误写为组播MAC地址或者广播地址,否则会提示MAC地址不合法(统一建议使用两个00开头的MAC地址:00xx.xxxx.xxxx,比如0011.0001.0002);每个拨号的子接口的MAC地址不能相同。

3、 专线连接

直接配置接口为静态IP

 

路由/负载配置

通过路由/负载的配置来满足高密星中同一个出口IP只能分配给有限的终端。

1、 基于源IP的负载均衡

如果用户对于同一个出口IP对应多少个终端没有强制要求,只需平均分配,则可以使用基于源IP的负载均衡,让NBR自动分配;LAN口的地址池大小配置为能够容纳终端数量即可。

首先需要开启“多链路负载均衡”

 

缺省情况下,NBR设备 MLLB 模块基于源 IP+目的 IP。全局模式下使用 mllb load-sharing original 命令可以启用 MLLB 模块基于源 IP 功能。

mllb load-sharing original

2、 策略路由/应用路由

推荐应用路由,可创建IP组,方便管理。

应用路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池或静态IP来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。如果用DHCP分配IP,地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.15;把IP:192.168.10.11-192.168.10.15配置在一个IP组中。

首先在应用类型选择“不关联应用”

 

源网段需要新增对应网段,例如192.168.10.11-192.168.11.15。

 

 

 

配置分流接口到对应端口

 

生效时间选择“所有时间”,点击“完成”

 

IP分组的配置也可以在菜单“行为管理”->“对象定义”->“IP对象”中进行:

 

策略路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.135;把IP:192.168.10.11-192.168.10.15配置在一个ACL中。

 

在策略路由中引用这个ACL,选择对应的拨号口

 

按上面的规则把IP分配到固定的ACL中,然后绑定到对应的出口上。

 

 

三、流控配置

在高密星场景中,如果需要对没有终端的流量进行限制,可以通过配置流控实现。首先需要开启流控功能。

 

选择需要限速的IP段,此时需要先新建用户,并设置对应的IP段

 

 

在策略调整中,添加对于用户的流控。

 

 

 高密星网关(NBR)常用配置

 出口配置

在高密星场景中,可能会有几十到几百个终端的流量经过出口的NBR。终端流量经过NBR出口后会以NBR的出口IP为源IP访问对端服务;终端访问的对端服务可能会因为同一个IP有太多的终端同时访问,判定这些终端存在刷机行为,从而封禁该终端或者IP;为了降低被封禁风险,需要限制同一个出口IP只能分配给有限的几个终端,同时要有足够的带宽保证大量终端的出口流量需求。

目前常用的配置方式有以下三种:

①一线多播:NBR开启一线多播,使用多个PPPoE账号,在同一条光纤上进行拨号,从而获取多个出口IP;

②WAN口子接口拨号:把多条光纤接入交换机,再从交换机连到NBR的WAN口,NBR进行WAN口子接口拨号,每个拨号都会获取一个出口IP;

③专线连接:接入几条专线,保证上网带宽,终端通过连到VPN服务器的方式来获取不同的出口IP(VPN服务器的相关配置和NBR无关)。

下面分别对三种接入方案中NBR的配置进行分析。

1、 一线多播

开启一线多播

NBR的WEB配置页面开启一键多拨功能

 

注意:一线多拨,也就是一个物理口只有一根线接入运营商,因此上面的账号都是同一个运营商,不同的运营商请配置在不同的物理口上。

添加PPPOE账号

选中线路连接的物理口,将接口类型修改为“PPPoE(ADSL)”

 

点击“添加拨号线路”,将从运营商获取的PPPoe账号和密码等信息填入

 

配置完成后,可以查看个PPPoE链路的连接状态等信息

 

2、 WAN口子接口拨号

在接口配置中,选择对应的物理口,点击“管理子接口”。(此时需要关闭“一线多拨”)

 

新增子接口,选择PPPoE类型,填入对应的账号、密码、带宽等信息,这里的VLAN ID需要和上联交换机连接对应PPPoE线路的VLAN ID一致。

 

添加完成后可以查看状态

 

注意

1)设置NBR拨号子接口的MAC地址时,不要误写为组播MAC地址或者广播地址,否则会提示MAC地址不合法(统一建议使用两个00开头的MAC地址:00xx.xxxx.xxxx,比如0011.0001.0002);每个拨号的子接口的MAC地址不能相同。

3、 专线连接

直接配置接口为静态IP

 

路由/负载配置

通过路由/负载的配置来满足高密星中同一个出口IP只能分配给有限的终端。

1、 基于源IP的负载均衡

如果用户对于同一个出口IP对应多少个终端没有强制要求,只需平均分配,则可以使用基于源IP的负载均衡,让NBR自动分配;LAN口的地址池大小配置为能够容纳终端数量即可。

首先需要开启“多链路负载均衡”

 

缺省情况下,NBR设备 MLLB 模块基于源 IP+目的 IP。全局模式下使用 mllb load-sharing original 命令可以启用 MLLB 模块基于源 IP 功能。

mllb load-sharing original

2、 策略路由/应用路由

推荐应用路由,可创建IP组,方便管理。

应用路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池或静态IP来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。如果用DHCP分配IP,地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.15;把IP:192.168.10.11-192.168.10.15配置在一个IP组中。

首先在应用类型选择“不关联应用”

 

源网段需要新增对应网段,例如192.168.10.11-192.168.11.15。

 

 

 

配置分流接口到对应端口

 

生效时间选择“所有时间”,点击“完成”

 

IP分组的配置也可以在菜单“行为管理”->“对象定义”->“IP对象”中进行:

 

策略路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.135;把IP:192.168.10.11-192.168.10.15配置在一个ACL中。

 

在策略路由中引用这个ACL,选择对应的拨号口

 

按上面的规则把IP分配到固定的ACL中,然后绑定到对应的出口上。

 

 

三、流控配置

在高密星场景中,如果需要对没有终端的流量进行限制,可以通过配置流控实现。首先需要开启流控功能。

 

选择需要限速的IP段,此时需要先新建用户,并设置对应的IP段

 

 

在策略调整中,添加对于用户的流控。

 

 

 高密星网关(NBR)常用配置

 出口配置

在高密星场景中,可能会有几十到几百个终端的流量经过出口的NBR。终端流量经过NBR出口后会以NBR的出口IP为源IP访问对端服务;终端访问的对端服务可能会因为同一个IP有太多的终端同时访问,判定这些终端存在刷机行为,从而封禁该终端或者IP;为了降低被封禁风险,需要限制同一个出口IP只能分配给有限的几个终端,同时要有足够的带宽保证大量终端的出口流量需求。

目前常用的配置方式有以下三种:

①一线多播:NBR开启一线多播,使用多个PPPoE账号,在同一条光纤上进行拨号,从而获取多个出口IP;

②WAN口子接口拨号:把多条光纤接入交换机,再从交换机连到NBR的WAN口,NBR进行WAN口子接口拨号,每个拨号都会获取一个出口IP;

③专线连接:接入几条专线,保证上网带宽,终端通过连到VPN服务器的方式来获取不同的出口IP(VPN服务器的相关配置和NBR无关)。

下面分别对三种接入方案中NBR的配置进行分析。

1、 一线多播

开启一线多播

NBR的WEB配置页面开启一键多拨功能

 

注意:一线多拨,也就是一个物理口只有一根线接入运营商,因此上面的账号都是同一个运营商,不同的运营商请配置在不同的物理口上。

添加PPPOE账号

选中线路连接的物理口,将接口类型修改为“PPPoE(ADSL)”

 

点击“添加拨号线路”,将从运营商获取的PPPoe账号和密码等信息填入

 

配置完成后,可以查看个PPPoE链路的连接状态等信息

 

2、 WAN口子接口拨号

在接口配置中,选择对应的物理口,点击“管理子接口”。(此时需要关闭“一线多拨”)

 

新增子接口,选择PPPoE类型,填入对应的账号、密码、带宽等信息,这里的VLAN ID需要和上联交换机连接对应PPPoE线路的VLAN ID一致。

 

添加完成后可以查看状态

 

注意

1)设置NBR拨号子接口的MAC地址时,不要误写为组播MAC地址或者广播地址,否则会提示MAC地址不合法(统一建议使用两个00开头的MAC地址:00xx.xxxx.xxxx,比如0011.0001.0002);每个拨号的子接口的MAC地址不能相同。

3、 专线连接

直接配置接口为静态IP

 

路由/负载配置

通过路由/负载的配置来满足高密星中同一个出口IP只能分配给有限的终端。

1、 基于源IP的负载均衡

如果用户对于同一个出口IP对应多少个终端没有强制要求,只需平均分配,则可以使用基于源IP的负载均衡,让NBR自动分配;LAN口的地址池大小配置为能够容纳终端数量即可。

首先需要开启“多链路负载均衡”

 

缺省情况下,NBR设备 MLLB 模块基于源 IP+目的 IP。全局模式下使用 mllb load-sharing original 命令可以启用 MLLB 模块基于源 IP 功能。

mllb load-sharing original

2、 策略路由/应用路由

推荐应用路由,可创建IP组,方便管理。

应用路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池或静态IP来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。如果用DHCP分配IP,地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.15;把IP:192.168.10.11-192.168.10.15配置在一个IP组中。

首先在应用类型选择“不关联应用”

 

源网段需要新增对应网段,例如192.168.10.11-192.168.11.15。

 

 

 

配置分流接口到对应端口

 

生效时间选择“所有时间”,点击“完成”

 

IP分组的配置也可以在菜单“行为管理”->“对象定义”->“IP对象”中进行:

 

策略路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.135;把IP:192.168.10.11-192.168.10.15配置在一个ACL中。

 

在策略路由中引用这个ACL,选择对应的拨号口

 

按上面的规则把IP分配到固定的ACL中,然后绑定到对应的出口上。

 

 

三、流控配置

在高密星场景中,如果需要对没有终端的流量进行限制,可以通过配置流控实现。首先需要开启流控功能。

 

选择需要限速的IP段,此时需要先新建用户,并设置对应的IP段

 

 

在策略调整中,添加对于用户的流控。

 

 

 高密星网关(NBR)常用配置

 出口配置

在高密星场景中,可能会有几十到几百个终端的流量经过出口的NBR。终端流量经过NBR出口后会以NBR的出口IP为源IP访问对端服务;终端访问的对端服务可能会因为同一个IP有太多的终端同时访问,判定这些终端存在刷机行为,从而封禁该终端或者IP;为了降低被封禁风险,需要限制同一个出口IP只能分配给有限的几个终端,同时要有足够的带宽保证大量终端的出口流量需求。

目前常用的配置方式有以下三种:

①一线多播:NBR开启一线多播,使用多个PPPoE账号,在同一条光纤上进行拨号,从而获取多个出口IP;

②WAN口子接口拨号:把多条光纤接入交换机,再从交换机连到NBR的WAN口,NBR进行WAN口子接口拨号,每个拨号都会获取一个出口IP;

③专线连接:接入几条专线,保证上网带宽,终端通过连到VPN服务器的方式来获取不同的出口IP(VPN服务器的相关配置和NBR无关)。

下面分别对三种接入方案中NBR的配置进行分析。

1、 一线多播

开启一线多播

NBR的WEB配置页面开启一键多拨功能

 

注意:一线多拨,也就是一个物理口只有一根线接入运营商,因此上面的账号都是同一个运营商,不同的运营商请配置在不同的物理口上。

添加PPPOE账号

选中线路连接的物理口,将接口类型修改为“PPPoE(ADSL)”

 

点击“添加拨号线路”,将从运营商获取的PPPoe账号和密码等信息填入

 

配置完成后,可以查看个PPPoE链路的连接状态等信息

 

2、 WAN口子接口拨号

在接口配置中,选择对应的物理口,点击“管理子接口”。(此时需要关闭“一线多拨”)

 

新增子接口,选择PPPoE类型,填入对应的账号、密码、带宽等信息,这里的VLAN ID需要和上联交换机连接对应PPPoE线路的VLAN ID一致。

 

添加完成后可以查看状态

 

注意

1)设置NBR拨号子接口的MAC地址时,不要误写为组播MAC地址或者广播地址,否则会提示MAC地址不合法(统一建议使用两个00开头的MAC地址:00xx.xxxx.xxxx,比如0011.0001.0002);每个拨号的子接口的MAC地址不能相同。

3、 专线连接

直接配置接口为静态IP

 

路由/负载配置

通过路由/负载的配置来满足高密星中同一个出口IP只能分配给有限的终端。

1、 基于源IP的负载均衡

如果用户对于同一个出口IP对应多少个终端没有强制要求,只需平均分配,则可以使用基于源IP的负载均衡,让NBR自动分配;LAN口的地址池大小配置为能够容纳终端数量即可。

首先需要开启“多链路负载均衡”

 

缺省情况下,NBR设备 MLLB 模块基于源 IP+目的 IP。全局模式下使用 mllb load-sharing original 命令可以启用 MLLB 模块基于源 IP 功能。

mllb load-sharing original

2、 策略路由/应用路由

推荐应用路由,可创建IP组,方便管理。

应用路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池或静态IP来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。如果用DHCP分配IP,地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.15;把IP:192.168.10.11-192.168.10.15配置在一个IP组中。

首先在应用类型选择“不关联应用”

 

源网段需要新增对应网段,例如192.168.10.11-192.168.11.15。

 

 

 

配置分流接口到对应端口

 

生效时间选择“所有时间”,点击“完成”

 

IP分组的配置也可以在菜单“行为管理”->“对象定义”->“IP对象”中进行:

 

策略路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.135;把IP:192.168.10.11-192.168.10.15配置在一个ACL中。

 

在策略路由中引用这个ACL,选择对应的拨号口

 

按上面的规则把IP分配到固定的ACL中,然后绑定到对应的出口上。

 

 

三、流控配置

在高密星场景中,如果需要对没有终端的流量进行限制,可以通过配置流控实现。首先需要开启流控功能。

 

选择需要限速的IP段,此时需要先新建用户,并设置对应的IP段

 

 

在策略调整中,添加对于用户的流控。

 

 

 高密星网关(NBR)常用配置

 出口配置

在高密星场景中,可能会有几十到几百个终端的流量经过出口的NBR。终端流量经过NBR出口后会以NBR的出口IP为源IP访问对端服务;终端访问的对端服务可能会因为同一个IP有太多的终端同时访问,判定这些终端存在刷机行为,从而封禁该终端或者IP;为了降低被封禁风险,需要限制同一个出口IP只能分配给有限的几个终端,同时要有足够的带宽保证大量终端的出口流量需求。

目前常用的配置方式有以下三种:

①一线多播:NBR开启一线多播,使用多个PPPoE账号,在同一条光纤上进行拨号,从而获取多个出口IP;

②WAN口子接口拨号:把多条光纤接入交换机,再从交换机连到NBR的WAN口,NBR进行WAN口子接口拨号,每个拨号都会获取一个出口IP;

③专线连接:接入几条专线,保证上网带宽,终端通过连到VPN服务器的方式来获取不同的出口IP(VPN服务器的相关配置和NBR无关)。

下面分别对三种接入方案中NBR的配置进行分析。

1、 一线多播

开启一线多播

NBR的WEB配置页面开启一键多拨功能

 

注意:一线多拨,也就是一个物理口只有一根线接入运营商,因此上面的账号都是同一个运营商,不同的运营商请配置在不同的物理口上。

添加PPPOE账号

选中线路连接的物理口,将接口类型修改为“PPPoE(ADSL)”

 

点击“添加拨号线路”,将从运营商获取的PPPoe账号和密码等信息填入

 

配置完成后,可以查看个PPPoE链路的连接状态等信息

 

2、 WAN口子接口拨号

在接口配置中,选择对应的物理口,点击“管理子接口”。(此时需要关闭“一线多拨”)

 

新增子接口,选择PPPoE类型,填入对应的账号、密码、带宽等信息,这里的VLAN ID需要和上联交换机连接对应PPPoE线路的VLAN ID一致。

 

添加完成后可以查看状态

 

注意

1)设置NBR拨号子接口的MAC地址时,不要误写为组播MAC地址或者广播地址,否则会提示MAC地址不合法(统一建议使用两个00开头的MAC地址:00xx.xxxx.xxxx,比如0011.0001.0002);每个拨号的子接口的MAC地址不能相同。

3、 专线连接

直接配置接口为静态IP

 

路由/负载配置

通过路由/负载的配置来满足高密星中同一个出口IP只能分配给有限的终端。

1、 基于源IP的负载均衡

如果用户对于同一个出口IP对应多少个终端没有强制要求,只需平均分配,则可以使用基于源IP的负载均衡,让NBR自动分配;LAN口的地址池大小配置为能够容纳终端数量即可。

首先需要开启“多链路负载均衡”

 

缺省情况下,NBR设备 MLLB 模块基于源 IP+目的 IP。全局模式下使用 mllb load-sharing original 命令可以启用 MLLB 模块基于源 IP 功能。

mllb load-sharing original

2、 策略路由/应用路由

推荐应用路由,可创建IP组,方便管理。

应用路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池或静态IP来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。如果用DHCP分配IP,地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.15;把IP:192.168.10.11-192.168.10.15配置在一个IP组中。

首先在应用类型选择“不关联应用”

 

源网段需要新增对应网段,例如192.168.10.11-192.168.11.15。

 

 

 

配置分流接口到对应端口

 

生效时间选择“所有时间”,点击“完成”

 

IP分组的配置也可以在菜单“行为管理”->“对象定义”->“IP对象”中进行:

 

策略路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.135;把IP:192.168.10.11-192.168.10.15配置在一个ACL中。

 

在策略路由中引用这个ACL,选择对应的拨号口

 

按上面的规则把IP分配到固定的ACL中,然后绑定到对应的出口上。

 

 

三、流控配置

在高密星场景中,如果需要对没有终端的流量进行限制,可以通过配置流控实现。首先需要开启流控功能。

 

选择需要限速的IP段,此时需要先新建用户,并设置对应的IP段

 

 

在策略调整中,添加对于用户的流控。

 

 

 

高密星网关(NBR)常用配置

 出口配置

在高密星场景中,可能会有几十到几百个终端的流量经过出口的NBR。终端流量经过NBR出口后会以NBR的出口IP为源IP访问对端服务;终端访问的对端服务可能会因为同一个IP有太多的终端同时访问,判定这些终端存在刷机行为,从而封禁该终端或者IP;为了降低被封禁风险,需要限制同一个出口IP只能分配给有限的几个终端,同时要有足够的带宽保证大量终端的出口流量需求。

目前常用的配置方式有以下三种:

①一线多播:NBR开启一线多播,使用多个PPPoE账号,在同一条光纤上进行拨号,从而获取多个出口IP;

②WAN口子接口拨号:把多条光纤接入交换机,再从交换机连到NBR的WAN口,NBR进行WAN口子接口拨号,每个拨号都会获取一个出口IP;

③专线连接:接入几条专线,保证上网带宽,终端通过连到VPN服务器的方式来获取不同的出口IP(VPN服务器的相关配置和NBR无关)。

下面分别对三种接入方案中NBR的配置进行分析。

1、 一线多播

开启一线多播

NBR的WEB配置页面开启一键多拨功能

 

注意:一线多拨,也就是一个物理口只有一根线接入运营商,因此上面的账号都是同一个运营商,不同的运营商请配置在不同的物理口上。

添加PPPOE账号

选中线路连接的物理口,将接口类型修改为“PPPoE(ADSL)”

 

点击“添加拨号线路”,将从运营商获取的PPPoe账号和密码等信息填入

 

配置完成后,可以查看个PPPoE链路的连接状态等信息

 

2、 WAN口子接口拨号

在接口配置中,选择对应的物理口,点击“管理子接口”。(此时需要关闭“一线多拨”)

 

新增子接口,选择PPPoE类型,填入对应的账号、密码、带宽等信息,这里的VLAN ID需要和上联交换机连接对应PPPoE线路的VLAN ID一致。

 

添加完成后可以查看状态

 

注意

1)设置NBR拨号子接口的MAC地址时,不要误写为组播MAC地址或者广播地址,否则会提示MAC地址不合法(统一建议使用两个00开头的MAC地址:00xx.xxxx.xxxx,比如0011.0001.0002);每个拨号的子接口的MAC地址不能相同。

3、 专线连接

直接配置接口为静态IP

 

路由/负载配置

通过路由/负载的配置来满足高密星中同一个出口IP只能分配给有限的终端。

1、 基于源IP的负载均衡

如果用户对于同一个出口IP对应多少个终端没有强制要求,只需平均分配,则可以使用基于源IP的负载均衡,让NBR自动分配;LAN口的地址池大小配置为能够容纳终端数量即可。

首先需要开启“多链路负载均衡”

 

缺省情况下,NBR设备 MLLB 模块基于源 IP+目的 IP。全局模式下使用 mllb load-sharing original 命令可以启用 MLLB 模块基于源 IP 功能。

mllb load-sharing original

2、 策略路由/应用路由

推荐应用路由,可创建IP组,方便管理。

应用路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池或静态IP来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。如果用DHCP分配IP,地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.15;把IP:192.168.10.11-192.168.10.15配置在一个IP组中。

首先在应用类型选择“不关联应用”

 

源网段需要新增对应网段,例如192.168.10.11-192.168.11.15。

 

 

 

配置分流接口到对应端口

 

生效时间选择“所有时间”,点击“完成”

 

IP分组的配置也可以在菜单“行为管理”->“对象定义”->“IP对象”中进行:

 

策略路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.135;把IP:192.168.10.11-192.168.10.15配置在一个ACL中。

 

在策略路由中引用这个ACL,选择对应的拨号口

 

按上面的规则把IP分配到固定的ACL中,然后绑定到对应的出口上。

 

 

三、流控配置

在高密星场景中,如果需要对没有终端的流量进行限制,可以通过配置流控实现。首先需要开启流控功能。

 

选择需要限速的IP段,此时需要先新建用户,并设置对应的IP段

 

 

在策略调整中,添加对于用户的流控。

 

 

 高密星网关(NBR)常用配置

 出口配置

在高密星场景中,可能会有几十到几百个终端的流量经过出口的NBR。终端流量经过NBR出口后会以NBR的出口IP为源IP访问对端服务;终端访问的对端服务可能会因为同一个IP有太多的终端同时访问,判定这些终端存在刷机行为,从而封禁该终端或者IP;为了降低被封禁风险,需要限制同一个出口IP只能分配给有限的几个终端,同时要有足够的带宽保证大量终端的出口流量需求。

目前常用的配置方式有以下三种:

①一线多播:NBR开启一线多播,使用多个PPPoE账号,在同一条光纤上进行拨号,从而获取多个出口IP;

②WAN口子接口拨号:把多条光纤接入交换机,再从交换机连到NBR的WAN口,NBR进行WAN口子接口拨号,每个拨号都会获取一个出口IP;

③专线连接:接入几条专线,保证上网带宽,终端通过连到VPN服务器的方式来获取不同的出口IP(VPN服务器的相关配置和NBR无关)。

下面分别对三种接入方案中NBR的配置进行分析。

1、 一线多播

开启一线多播

NBR的WEB配置页面开启一键多拨功能

 

注意:一线多拨,也就是一个物理口只有一根线接入运营商,因此上面的账号都是同一个运营商,不同的运营商请配置在不同的物理口上。

添加PPPOE账号

选中线路连接的物理口,将接口类型修改为“PPPoE(ADSL)”

 

点击“添加拨号线路”,将从运营商获取的PPPoe账号和密码等信息填入

 

配置完成后,可以查看个PPPoE链路的连接状态等信息

 

2、 WAN口子接口拨号

在接口配置中,选择对应的物理口,点击“管理子接口”。(此时需要关闭“一线多拨”)

 

新增子接口,选择PPPoE类型,填入对应的账号、密码、带宽等信息,这里的VLAN ID需要和上联交换机连接对应PPPoE线路的VLAN ID一致。

 

添加完成后可以查看状态

 

注意

1)设置NBR拨号子接口的MAC地址时,不要误写为组播MAC地址或者广播地址,否则会提示MAC地址不合法(统一建议使用两个00开头的MAC地址:00xx.xxxx.xxxx,比如0011.0001.0002);每个拨号的子接口的MAC地址不能相同。

3、 专线连接

直接配置接口为静态IP

 

路由/负载配置

通过路由/负载的配置来满足高密星中同一个出口IP只能分配给有限的终端。

1、 基于源IP的负载均衡

如果用户对于同一个出口IP对应多少个终端没有强制要求,只需平均分配,则可以使用基于源IP的负载均衡,让NBR自动分配;LAN口的地址池大小配置为能够容纳终端数量即可。

首先需要开启“多链路负载均衡”

 

缺省情况下,NBR设备 MLLB 模块基于源 IP+目的 IP。全局模式下使用 mllb load-sharing original 命令可以启用 MLLB 模块基于源 IP 功能。

mllb load-sharing original

2、 策略路由/应用路由

推荐应用路由,可创建IP组,方便管理。

应用路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池或静态IP来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。如果用DHCP分配IP,地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.15;把IP:192.168.10.11-192.168.10.15配置在一个IP组中。

首先在应用类型选择“不关联应用”

 

源网段需要新增对应网段,例如192.168.10.11-192.168.11.15。

 

 

 

配置分流接口到对应端口

 

生效时间选择“所有时间”,点击“完成”

 

IP分组的配置也可以在菜单“行为管理”->“对象定义”->“IP对象”中进行:

 

策略路由:

如果用户需要限制每个出口IP能对应的终端个数,则可以通过策略路由配合DHCP地址池来实现。

 

例如用户有100个终端,有25个外网出口IP,限制每个出口IP对多被5个终端使用。地址池大小设置为25*5=125个IP,如:192.168.10.11-192.168.11.135;把IP:192.168.10.11-192.168.10.15配置在一个ACL中。

 

在策略路由中引用这个ACL,选择对应的拨号口

 

按上面的规则把IP分配到固定的ACL中,然后绑定到对应的出口上。

 

 

三、流控配置

在高密星场景中,如果需要对没有终端的流量进行限制,可以通过配置流控实现。首先需要开启流控功能。

 

选择需要限速的IP段,此时需要先新建用户,并设置对应的IP段

 

 

在策略调整中,添加对于用户的流控。

 

 

 


版权所有©2014-2019 锐捷网络股份有限公司