一、概述
1.1 核心作用
H3C双WAN口策略路由通过精细化的流量引导规则,实现不同业务流量在两个WAN口(如电信、联通两条宽带)间的精准分流与冗余备份。核心价值包括:提升网络带宽利用率,避免单WAN口过载;保障核心业务访问质量,优先选择低延迟链路;实现链路冗余,某条WAN口故障时业务自动切换至备用链路;灵活控制流量走向,适配跨运营商访问需求。
1.2 适用场景
本配置方案适配H3C主流网关设备(如MSR系列路由器、S5000系列交换机),典型应用场景包括:
-
中小企业双宽带冗余(电信+联通/移动),实现业务流量分流;
-
核心业务(如ERP、视频会议)优先走专线/WAN1,普通业务(如网页浏览、文件下载)走普通宽带/WAN2;
-
跨运营商访问优化,访问电信资源走电信WAN口,访问联通资源走联通WAN口;
-
分支机构通过双WAN口与总部互联,保障业务连续性。
1.3 核心术语说明
-
双WAN口:设备具备两个外网接口(通常标识为GigabitEthernet 0/0、GigabitEthernet 0/1,或WAN1、WAN2),分别接入不同运营商或不同带宽的外网链路;
-
策略路由(PBR):基于预设的匹配规则(如业务网段、IP地址、端口、协议)引导流量转发,优先级高于传统路由表;
-
ACL(访问控制列表):用于精准匹配目标流量,是策略路由的核心匹配工具;
-
Next-hop:策略路由匹配成功后,流量转发的目标网关(即对应WAN口的运营商网关);
-
冗余备份:通过配置主备策略,主WAN口故障时,流量自动切换至备用WAN口,保障业务不中断。
二、核心配置命令(H3C通用版)
2.1 基础准备配置
配置前需完成双WAN口的基础网络配置,确保各WAN口能正常访问外网。
| 配置场景 | 命令示例 | 说明 |
|---|---|---|
| 进入系统视图 | system-view(缩写:sys) | 所有配置的基础入口,切换至系统视图后可进行全局配置 |
| 配置设备名称 | sysname H3C-Dual-WAN-Gateway | 命名便于运维识别,建议包含设备类型与用途 |
| 配置WAN1口(电信)IP | interface GigabitEthernet 0/0(假设0/0为WAN1)ip address 202.103.xxx.xxx 255.255.255.248undo shutdown | IP地址由运营商分配,按实际获取的公网IP配置 |
| 配置WAN2口(联通)IP | interface GigabitEthernet 0/1(假设0/1为WAN2)ip address 112.85.xxx.xxx 255.255.255.240undo shutdown | 两个WAN口需属于不同网段,避免IP冲突 |
| 配置默认路由(备用,可选) | ip route-static 0.0.0.0 0.0.0.0 202.103.xxx.xxx preference 60(WAN1默认路由)ip route-static 0.0.0.0 0.0.0.0 112.85.xxx.xxx preference 100(WAN2备用路由) | 优先级数值越小越优先,默认路由用于未匹配策略的流量 |
2.2 策略路由核心配置
策略路由配置核心逻辑:定义ACL匹配目标流量 → 创建策略路由关联ACL与转发规则 → 在入口接口调用策略路由。
2.2.1 配置ACL匹配流量
通过ACL精准匹配不同类型的业务流量,分为基本ACL(匹配源IP)和高级ACL(匹配源/目的IP、协议、端口)。
// 示例1:基本ACL(匹配核心业务网段192.168.10.0/24,走WAN1)
acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255 // 允许核心业务网段流量
rule 20 deny source any // 拒绝其他流量(避免误匹配)
// 示例2:高级ACL(匹配普通业务中HTTP/HTTPS流量,走WAN2)
acl number 3000
rule 10 permit tcp source 192.168.20.0 0.0.0.255 destination-port eq 80 // HTTP(80端口)
rule 20 permit tcp source 192.168.20.0 0.0.0.255 destination-port eq 443 // HTTPS(443端口)
rule 30 deny ip source any destination any // 拒绝其他流量2.2.2 创建策略路由
创建策略路由,关联上述ACL,并定义匹配流量的转发规则(下一跳为对应WAN口网关)。
// 策略1:核心业务流量(ACL 2000)走WAN1(电信)
policy-based-route CORE-BUSINESS permit node 10
match acl 2000 // 关联ACL 2000
apply next-hop 202.103.xxx.xxx // 转发至WAN1网关
// 策略2:普通业务HTTP/HTTPS流量(ACL 3000)走WAN2(联通)
policy-based-route NORMAL-BUSINESS permit node 20
match acl 3000 // 关联ACL 3000
apply next-hop 112.85.xxx.xxx // 转发至WAN2网关
// (可选)策略3:其他未匹配流量走默认路由(按优先级转发)
policy-based-route DEFAULT permit node 30
apply default-route // 未匹配前两条策略的流量,按默认路由转发2.2.3 在入口接口调用策略路由
策略路由需在流量进入设备的接口(通常是内网LAN口)调用,才能生效。
// 假设内网接口为GigabitEthernet 0/2,在该接口调用策略路由
interface GigabitEthernet 0/2
ip policy-based-route CORE-BUSINESS // 调用核心业务策略
ip policy-based-route NORMAL-BUSINESS // 调用普通业务策略
ip policy-based-route DEFAULT // 调用默认策略
undo shutdown2.3 验证与维护命令
配置完成后,通过以下命令验证策略路由是否生效,排查配置问题。
| 验证场景 | 命令示例 | 说明 |
|---|---|---|
| 查看策略路由配置 | display policy-based-route configuration | 确认策略路由的节点、匹配ACL、下一跳配置正确 |
| 查看策略路由转发统计 | display policy-based-route statistics interface GigabitEthernet 0/2 | 查看各策略的匹配次数,验证流量是否按预期转发 |
| 查看路由表 | display ip routing-table | 确认默认路由及业务路由的下一跳、优先级正确 |
| 测试链路连通性 | ping 223.5.5.5 source 202.103.xxx.xxx(测试WAN1)ping 202.108.22.5 source 112.85.xxx.xxx(测试WAN2) | 验证两个WAN口均能正常访问外网 |
| 测试流量转发路径 | tracert 192.168.10.10(核心业务终端) | 确认核心业务流量路径为:终端→LAN口→WAN1→外网 |
三、实操案例:H3C MSR3610双WAN口策略路由配置
3.1 案例背景
某中小企业使用H3C MSR3610路由器作为网关,部署双WAN口:WAN1(G0/0)接入电信专线(低延迟,保障核心业务),WAN2(G0/1)接入联通宽带(高带宽,承载普通业务);内网分为核心业务网段(192.168.10.0/24,ERP、财务系统)和普通业务网段(192.168.20.0/24,办公上网)。需求:核心业务流量优先走WAN1,普通业务流量走WAN2;WAN1故障时,核心业务自动切换至WAN2。
3.2 端口规划
-
WAN1(GigabitEthernet 0/0):电信专线,IP:202.103.1.2/29,网关:202.103.1.1;
-
WAN2(GigabitEthernet 0/1):联通宽带,IP:112.85.2.3/28,网关:112.85.2.1;
-
LAN口(GigabitEthernet 0/2):内网汇聚口,IP:192.168.0.1/22(覆盖192.168.0.0-192.168.3.255,包含两个业务网段);
-
核心业务网段:192.168.10.0/24(实际应为192.168.1.0/24,适配LAN口网段,此处修正为192.168.1.0/24);
-
普通业务网段:192.168.2.0/24。
3.3 完整配置命令
// 1. 进入系统视图,配置设备名称
sys
sysname H3C-MSR3610-Dual-WAN
// 2. 配置双WAN口IP(基础网络配置)
// WAN1(电信)
interface GigabitEthernet 0/0
ip address 202.103.1.2 255.255.255.248
undo shutdown
// WAN2(联通)
interface GigabitEthernet 0/1
ip address 112.85.2.3 255.255.255.240
undo shutdown
// 3. 配置LAN口IP(内网接口)
interface GigabitEthernet 0/2
ip address 192.168.0.1 255.255.252.0
undo shutdown
// 4. 配置ACL匹配不同业务流量
// ACL 2000:匹配核心业务网段192.168.1.0/24
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
rule 20 deny source any
// ACL 3000:匹配普通业务网段192.168.2.0/24的所有流量
acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination any
rule 20 deny ip source any destination any
// 5. 创建策略路由,定义转发规则
// 策略1:核心业务流量走WAN1(电信),并配置备用下一跳(WAN2)
policy-based-route CORE permit node 10
match acl 2000
apply next-hop 202.103.1.1 // 主下一跳:WAN1网关
apply backup-next-hop 112.85.2.1 // 备用下一跳:WAN2网关(主链路故障时生效)
// 策略2:普通业务流量走WAN2(联通)
policy-based-route NORMAL permit node 20
match acl 3000
apply next-hop 112.85.2.1
// 策略3:未匹配流量走默认路由(按优先级转发)
policy-based-route DEFAULT permit node 30
apply default-route
// 6. 在LAN口(流量入口)调用策略路由
interface GigabitEthernet 0/2
ip policy-based-route CORE
ip policy-based-route NORMAL
ip policy-based-route DEFAULT
// 7. 配置默认路由(备用)
ip route-static 0.0.0.0 0.0.0.0 202.103.1.1 preference 60 // WAN1默认路由
ip route-static 0.0.0.0 0.0.0.0 112.85.2.1 preference 100 // WAN2备用路由
// 8. 保存配置(避免重启丢失)
save force3.4 验证效果
-
基础连通性验证:执行
ping 223.5.5.5 source 202.103.1.2(WAN1)和ping 202.108.22.5 source 112.85.2.3(WAN2),均能ping通,说明双WAN口外网连通正常; -
流量转发验证:在核心业务终端(192.168.1.10)执行
tracert 183.232.231.172(电信DNS),路径显示经过202.103.1.1(WAN1网关);在普通业务终端(192.168.2.20)执行tracert 202.108.22.5(联通DNS),路径显示经过112.85.2.1(WAN2网关),分流生效; -
故障切换验证:断开WAN1口网线,在核心业务终端重新执行
tracert 183.232.231.172,路径自动切换为经过112.85.2.1(WAN2网关),业务无中断,冗余备份生效。
四、常见问题排查
-
问题1:策略路由配置后不生效,流量未按预期分流?
- 排查方向:① 确认策略路由已在流量入口接口 调用(需在LAN口调用,而非WAN口);② 检查ACL规则是否准确,是否包含目标流量(可通过
display acl 2000查看匹配次数);③ 验证下一跳网关是否可达(执行ping 下一跳IP);④ 检查策略路由节点顺序,节点序号越小优先级越高,避免高优先级策略覆盖低优先级策略。
- 排查方向:① 确认策略路由已在流量入口接口 调用(需在LAN口调用,而非WAN口);② 检查ACL规则是否准确,是否包含目标流量(可通过
-
问题2:双WAN口分流不均,某条链路过载?
- 排查方向:① 检查ACL规则是否过于宽泛,导致某类流量集中在单条链路;② 调整策略路由节点,细化流量匹配规则(如将普通业务中的大文件下载流量单独分流至WAN2);③ 查看链路带宽利用率(
display interface traffic),若带宽差异较大,可限制高带宽链路的流量占比。
- 排查方向:① 检查ACL规则是否过于宽泛,导致某类流量集中在单条链路;② 调整策略路由节点,细化流量匹配规则(如将普通业务中的大文件下载流量单独分流至WAN2);③ 查看链路带宽利用率(
-
问题3:主WAN口故障后,备用链路未自动切换?
- 排查方向:① 未配置备用下一跳或备用默认路由,需在策略路由中添加
apply backup-next-hop,或配置低优先级的备用默认路由;② 检查设备是否开启链路检测功能(部分H3C设备需手动开启NQA检测,确保及时发现链路故障);③ 验证备用下一跳网关是否可达。
- 排查方向:① 未配置备用下一跳或备用默认路由,需在策略路由中添加
-
问题4:配置后出现路由环路,网络卡顿?
- 排查方向:① 检查策略路由下一跳是否配置错误(如误将下一跳指向LAN口IP);② 确认双WAN口的默认路由优先级是否合理,避免相互转发;③ 暂时关闭策略路由(
interface GigabitEthernet 0/2下执行undo ip policy-based-route all),若环路消失,则为策略路由配置错误,重新梳理规则。
- 排查方向:① 检查策略路由下一跳是否配置错误(如误将下一跳指向LAN口IP);② 确认双WAN口的默认路由优先级是否合理,避免相互转发;③ 暂时关闭策略路由(
五、注意事项
-
配置前务必备份现有配置:执行
save backup.cfg,若配置错误可通过restore backup.cfg回滚,避免业务中断; -
H3C不同型号设备(如MSR系列、S系列)的策略路由命令基本一致,但部分高端型号支持更高级的分流策略(如基于带宽的智能分流),需结合设备型号与固件版本参考官方手册;
-
策略路由优先级高于传统路由表,配置时需避免规则冲突(如某条流量同时匹配多条策略,仅执行优先级最高的策略);
-
实施配置建议选择业务低峰期(如深夜、周末),并提前告知相关部门,预留足够的故障处理时间。
六、总结
H3C双WAN口策略路由的核心配置逻辑是"精准匹配流量+定向转发+冗余备份",通过ACL定义流量范围,策略路由关联转发规则,入口接口调用生效,实现不同业务流量的合理分流与链路冗余。实际配置中,需结合业务需求细化ACL规则,合理规划端口与路由优先级,配置后通过连通性测试、流量路径测试、故障切换测试验证效果。本文档的配置方案可直接适配中小企业双WAN口场景,稍作调整即可应用于不同规模的H3C设备部署。
如果你正在为企业规划网络架构、优化办公网络性能,或遇到 VLAN 划分混乱、路由策略失效、专线利用率低、搬迁断网等实际问题,欢迎点击下方,我可以提供免费的规划咨询(我专注于为30--200人成长型企业提供标准化ICT规划与运维服务)。