Tôi có EdgeRouter ER-8 với thiết lập sau: 3 mạng WAN (eth0 là ISP1, eth1 là ISP2, eth2 là liên kết không dây đến một trường khác với ISP của chính nó và nó được sử dụng để truy cập mạng LAN từ xa và là mạng thứ ba và đường lên chỉ chuyển đổi dự phòng); và 2 mạng LAN cục bộ (eth6-192.168.1.1/24; eth7-172.18.16.1/22).
Mạng LAN trên eth6 vừa được thêm vào. Một bộ định tuyến cũ độc lập bị lỗi và chúng tôi quyết định tích hợp mạng LAN đó với các dịch vụ cốt lõi. Cân bằng tải được định cấu hình và hoạt động như mong đợi, dành cho khách hàng trên cả hai mạng LAN. PBR đã được định cấu hình, nhưng có vẻ như nó chỉ hoạt động cho các máy khách trên eth7 chứ không phải cho các máy khách trên mạng LAN thứ hai, trên eth6.
Tôi đã tạo một vài nhóm địa chỉ để buộc các IP được liệt kê trong nhóm đầu tiên luôn sử dụng ISP1/eth0 và những IP được liệt kê trong nhóm thứ hai phải sử dụng ISP2/eth1.
Nếu tôi thêm IP từ mạng 172.18.16.0/22 vào danh sách, mọi thứ sẽ hoạt động bình thường. Nếu tôi thêm IP từ mạng 192.168.1.0/24 thì các máy khách đó sẽ tiếp tục quay lại hành vi mặc định (nhóm lb G).
Quy tắc 95 và 96 của tường lửa thực hiện xáo trộn, nhưng bằng cách theo dõi số liệu thống kê (hiển thị số liệu thống kê sửa đổi tường lửa) Tôi nhận ra rằng các yêu cầu từ IP (trong các nhóm địa chỉ) từ mạng 172... thực hiện các quy tắc đó, NHƯNG các yêu cầu từ IP (một lần nữa, trong cùng một nhóm địa chỉ) từ mạng 192... thì không.
Tôi cũng đã xác minh điều này bằng cách thực hiện xem -n 1 'cuộn api.ipify.org' trên các máy khách trên cả hai mạng. Những cái trên mạng 172... hiển thị IP của ISP tương ứng, trong khi những cái trên mạng khác hiển thị các IP xen kẽ (có nghĩa là chúng thực sự tuân theo các tham số cân bằng tải).
Tôi đang thiếu gì? Phải có điều gì đó mà tôi không nhìn thấy hoặc không áp dụng cho giao diện eth6.
Bất kỳ sự giúp đỡ nào cũng được đánh giá cao.
Đây là cấu hình của tôi:
bức tường lửa {
kích hoạt tất cả ping
vô hiệu hóa ping phát sóng
tập đoàn {
nhóm địa chỉ OUT-WAN-ETH0 {
địa chỉ 192.168.1.251
mô tả "Hết qua eth0"
}
nhóm địa chỉ OUT-WAN-ETH1 {
địa chỉ 192.168.1.252
mô tả "Hết qua eth1"
}
nhóm mạng Old_LAN {
mô tả "Mạng kế thừa"
mạng 192.168.1.0/24
}
nhóm mạng PRIVATE_NETS {
mạng 172.18.16.0/22
mạng 172.18.20.0/22
mạng 172.18.24.0/29
mạng 172.18.24.8/29
mạng 172.18.24.16/29
mạng 192.168.1.0/24
}
nhóm cổng servicios_proxy {
cổng 80
cổng 443
cổng 873
cổng 11194
cổng 22
}
}
ipv6-nhận-chuyển hướng vô hiệu hóa
vô hiệu hóa ipv6-src-tuyến
ip-src-route vô hiệu hóa
log-martians vô hiệu hóa
sửa đổi số dư {
quy tắc 10 {
hành động sửa đổi
mô tả "KHÔNG cân bằng tải lan sang lan"
điểm đến {
tập đoàn {
nhóm mạng PRIVATE_NETS
}
}
biến đổi {
bảng chính
}
}
quy tắc 20 {
hành động sửa đổi
mô tả "KHÔNG tải địa chỉ công cộng đích cân bằng"
điểm đến {
tập đoàn {
nhóm địa chỉ ADDRv4_eth0
}
}
biến đổi {
bảng chính
}
}
quy tắc 30 {
hành động sửa đổi
mô tả "KHÔNG tải địa chỉ công cộng đích cân bằng"
điểm đến {
tập đoàn {
nhóm địa chỉ ADDRv4_eth1
}
}
biến đổi {
bảng chính
}
}
quy tắc 40 {
hành động sửa đổi
mô tả "KHÔNG tải địa chỉ công cộng đích cân bằng"
điểm đến {
tập đoàn {
nhóm địa chỉ ADDRv4_eth2
}
}
biến đổi {
bảng chính
}
}
quy tắc 95 {
hành động sửa đổi
mô tả "Đầu ra thông qua WAN-eth0"
biến đổi {
lb-nhóm WAN-eth0
}
nguồn {
tập đoàn {
nhóm địa chỉ OUT-WAN-ETH0
}
}
}
quy tắc 96 {
hành động sửa đổi
mô tả "Đầu ra thông qua WAN-eth1"
biến đổi {
lb-nhóm WAN-eth1
}
nguồn {
tập đoàn {
nhóm địa chỉ OUT-WAN-ETH1
}
}
}
quy tắc 110 {
hành động sửa đổi
biến đổi {
lb-nhóm G
}
}
}
tên WAN_IN {
thả hành động mặc định
mô tả "WAN đến nội bộ"
bật-mặc định-log
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép thiết lập/liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 20 {
hành động chấp nhận
mô tả v-proxy
điểm đến {
địa chỉ 192.168.1.253
tập đoàn {
nhóm cổng servicios_proxy
}
}
đăng nhập vô hiệu hóa
giao thức tcp_udp
}
quy tắc 40 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
}
tên WAN_LOCAL {
thả hành động mặc định
mô tả "WAN đến bộ định tuyến"
bật-mặc định-log
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép thiết lập/liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 30 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
}
tên Wireless_backhaul {
thả hành động mặc định
sự miêu tả ""
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép Backhaul"
điểm đến {
địa chỉ 0.0.0.0/0
}
đăng nhập vô hiệu hóa
giao thức tất cả
tiểu bang {
thiết lập cho phép
vô hiệu hóa không hợp lệ
kích hoạt mới
kích hoạt liên quan
}
}
quy tắc 20 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
đăng nhập vô hiệu hóa
giao thức tất cả
tiểu bang {
thiết lập vô hiệu hóa
kích hoạt không hợp lệ
vô hiệu hóa mới
vô hiệu hóa liên quan
}
}
}
vô hiệu hóa chuyển hướng nhận
kích hoạt chuyển hướng gửi
vô hiệu hóa xác thực nguồn
kích hoạt đồng bộ cookie
}
giao diện {
ethernet eth0 {
địa chỉ dhcp
mô tả WAN1
tùy chọn dhcp {
cập nhật tuyến đường mặc định
mặc định-tuyến đường-khoảng cách 3
máy chủ định danh không cập nhật
}
tự động song công
bức tường lửa {
Trong {
tên WAN_IN
}
địa phương {
tên WAN_LOCAL
}
}
tốc độ tự động
}
ethernet eth1 {
địa chỉ dhcp
mô tả WAN2
tùy chọn dhcp {
cập nhật tuyến đường mặc định
mặc định-tuyến đường-khoảng cách 3
máy chủ định danh không cập nhật
}
tự động song công
bức tường lửa {
Trong {
tên WAN_IN
}
địa phương {
tên WAN_LOCAL
}
}
tốc độ tự động
}
ethernet eth2 {
địa chỉ 172.18.24.1/29
mô tả Wireless-SB448-In
tự động song công
bức tường lửa {
Trong {
tên Wireless_backhaul
}
địa phương {
tên Wireless_backhaul
}
ngoài {
tên Wireless_backhaul
}
}
tốc độ tự động
vif 2 {
địa chỉ 172.18.24.10/29
mô tả Wireless-SB448-out
bức tường lửa {
Trong {
tên Wireless_backhaul
}
địa phương {
tên Wireless_backhaul
}
ngoài {
tên Wireless_backhaul
}
}
}
vif 3 {
địa chỉ 172.18.24.18/29
mô tả Wireless-SB448-LAN
bức tường lửa {
Trong {
tên Wireless_backhaul
}
địa phương {
tên Wireless_backhaul
}
ngoài {
tên Wireless_backhaul
}
}
}
}
ethernet eth6 {
địa chỉ 192.168.1.1/24
mô tả mạng LAN cũ
tự động song công
bức tường lửa {
Trong {
sửa đổi số dư
}
}
tốc độ tự động
}
ethernet eth7 {
địa chỉ 172.18.16.1/22
mô tả mạng LAN
tự động song công
bức tường lửa {
Trong {
sửa đổi số dư
}
}
tốc độ tự động
}
vòng lặp lo {
}
}
cân bằng tải {
nhóm G {
loại trừ-local-dns vô hiệu hóa
kích hoạt flush-on-active
cổng-cập nhật-khoảng 1
giao diện eth0 {
kiểm tra tuyến đường {
đếm {
thất bại 3
thành công 2
}
độ trễ ban đầu 1
quãng 2
loại {
ping {
mục tiêu 8.8.4.4
}
}
}
trọng lượng 100
}
giao diện eth1 {
kiểm tra tuyến đường {
đếm {
thất bại 3
thành công 2
}
độ trễ ban đầu 1
quãng 2
loại {
ping {
mục tiêu 8.8.8.8
}
}
}
trọng lượng 100
}
giao diện eth2.2 {
chỉ chuyển đổi dự phòng
kiểm tra tuyến đường {
đếm {
thất bại 3
thành công 5
}
độ trễ ban đầu 1
quãng 2
loại {
ping {
mục tiêu 172.18.24.9
}
}
}
trọng lượng 1
}
kích hoạt lb-local
vô hiệu hóa lb-local-metric-change
dính {
kích hoạt dest-addr
kích hoạt addr nguồn
}
}
nhóm WAN-eth0 {
bật loại trừ-local-dns
kích hoạt flush-on-active
cổng-cập nhật-khoảng 5
giao diện eth0 {
kiểm tra tuyến đường {
độ trễ ban đầu 1
quãng 10
loại {
ping {
mục tiêu 8.8.8.8
}
}
}
trọng lượng 100
}
vô hiệu hóa lb-local
vô hiệu hóa lb-local-metric-change
dính {
kích hoạt dest-addr
kích hoạt addr nguồn
}
}
nhóm WAN-eth1 {
bật loại trừ-local-dns
kích hoạt flush-on-active
cổng-cập nhật-khoảng 5
giao diện eth1 {
kiểm tra tuyến đường {
độ trễ ban đầu 1
quãng 10
loại {
ping {
mục tiêu 8.8.8.8
}
}
}
trọng lượng 100
}
vô hiệu hóa lb-local
vô hiệu hóa lb-local-metric-change
dính {
kích hoạt dest-addr
kích hoạt addr nguồn
}
}
}
giao thức {
tĩnh {
tuyến đường 0.0.0.0/0 {
bước tiếp theo 172.18.24.9 {
mô tả "SB448"
khoảng cách 5
}
bước tiếp theo 192.168.2.254 {
mô tả "ISP2"
khoảng cách 4
}
}
tuyến đường 172.18.20.0/22 {
bước tiếp theo 172.18.24.17 {
Mô tả LAN-SB448
khoảng cách 2
}
}
}
}
dịch vụ {... ĐÃ BỎ LỠ ...}
hệ thống {... ĐÃ BỎ LỠ ...}
