網(wǎng)上關(guān)于電信+網(wǎng)通雙線(xiàn)策略路由的帖子，并結(jié)合實(shí)際環(huán)境，將實(shí)現(xiàn)雙線(xiàn)策略路由的幾種方式總結(jié)如下，希望對(duì)有需要的朋友有所幫助，雙線(xiàn)比單線(xiàn)要復(fù)雜多了，但把策略路由的原理弄明白了，就會(huì)發(fā)現(xiàn)其實(shí)并不難。

　　服務(wù)器(網(wǎng)關(guān))：

　　eth0 為L(zhǎng)AN口，IP為 LAN_IP = 192.168.0.1

　　eth1 為第一個(gè)WAN口，接電信線(xiàn)路，IP為 CTC_IP,網(wǎng)關(guān)為 CTC_GW

　　eth2 為第二個(gè)WAN口，接網(wǎng)通線(xiàn)路，IP為 CNC_IP,網(wǎng)關(guān)為 CNC_GW

　　內(nèi)網(wǎng)網(wǎng)站

　　HTTP_SERVER = 192.168.0.100

　　內(nèi)核打補(bǔ)丁

　　如果你希望外網(wǎng)用戶(hù)，不管通過(guò)哪個(gè)IP都可以訪(fǎng)問(wèn)到服務(wù)器或映射后的內(nèi)網(wǎng)服務(wù)器，那么你就需要為內(nèi)核打上補(bǔ)丁，

　　補(bǔ)丁可以下載到，在 Static, Alternative Routes, Dead Gateway Detection, NAT 找和內(nèi)核對(duì)應(yīng)的 patch下載后為內(nèi)核打上，然后在

　　Networking ---> Networking options ---> IP: advanced router

　　把 IP: equal cost multipath with caching support (EXPERIMENTAL) 前面的勾去掉

　　如果你不想打補(bǔ)丁，或不想動(dòng)內(nèi)核，有個(gè)簡(jiǎn)單的辦法來(lái)實(shí)現(xiàn)，即寫(xiě)一個(gè)腳本，每隔2秒鐘刷新一次route cache

　　while : ; do

　　ip route flush cache

　　sleep 2

　　done

　　雙線(xiàn)策略的實(shí)現(xiàn)

　　1. 靜態(tài)路由方式(這種方式是最簡(jiǎn)單的)

　　1) 設(shè)置默認(rèn)路由，比如電信

　　ip route replace default via 電信網(wǎng)關(guān) dev eth1

　　2) 設(shè)置策略路由，對(duì)另外一條線(xiàn)路

　　ip route add 網(wǎng)通路由表1 via 網(wǎng)通網(wǎng)關(guān) dev eth2 metric 1

　　ip route add 網(wǎng)通路由表2 via 網(wǎng)通網(wǎng)關(guān) dev eth2 metric 1

　　…

　　3) 添加原路返回路由

　　策略路由規(guī)則設(shè)置完后，還要為每條線(xiàn)路加入相應(yīng)的 "原路返回路由"(從哪條線(xiàn)進(jìn)來(lái)的數(shù)據(jù)，最終還是從這條線(xiàn)出去)，不然就會(huì)出現(xiàn)這樣的問(wèn)題：

　　電信用戶(hù)通過(guò)網(wǎng)通的IP訪(fǎng)問(wèn)不到服務(wù)器，網(wǎng)通用戶(hù)也不能通過(guò)電信IP訪(fǎng)問(wèn)到服務(wù)器

　　ip route flush table 100

　　ip route add default via 電信網(wǎng)關(guān) dev eth1 src 電信IP table 100 prio 50

　　ip rule add from 電信IP table 100

　　ip route flush table 200

　　ip route add default via 網(wǎng)通網(wǎng)關(guān) dev eth2 src 網(wǎng)通IP table 200 prio 50

　　ip rule add from 網(wǎng)通IP table 200

　　出來(lái)加入本身的原路返回路由之外，還應(yīng)加入局域網(wǎng)接口的，不然通過(guò)端口映射后，內(nèi)網(wǎng)無(wú)法通過(guò)外網(wǎng)IP訪(fǎng)問(wèn)到映射后的服務(wù)器

　　ip route add 192.168.0.0/24 dev eth0 scope link src 192.168.0.1 table 100

　　ip route add 192.168.0.0/24 dev eth0 scope link src 192.168.0.1 table 200

　　2. 策略路由方式

　　為了方便，我們?cè)黾?個(gè)策略路由表，電信 => 100,網(wǎng)通 => 200,這樣再添加規(guī)則時(shí)，就可以直接用自定義的名稱(chēng)來(lái)替代數(shù)字

　　echo "100 ctc" 》 /etc/iproute2/rt_tables

　　echo "200 cnc" 》 /etc/iproute2/rt_tables

　　1)設(shè)置默認(rèn)路由(電信)

　　ip route replace default via 電信網(wǎng)關(guān) dev eth1

　　2)對(duì)網(wǎng)通進(jìn)行基于目的地址的策略路由

　　ip rule add to 網(wǎng)通路由表1 table cnc prio 100

　　ip rule add to 網(wǎng)通路由表2 table cnc prio 100

　　…

　　3)添加原路返回路由

　　ip route flush table ctc

　　ip route add default via 電信網(wǎng)關(guān) dev eth1 src 電信IP table ctc

　　ip route add 192.168.0.0/24 dev eth0 scope link src 192.168.0.1 table ctc

　　ip rule add from 電信IP table ctc

　　ip route flush table cnc

　　ip route add default via 網(wǎng)通網(wǎng)關(guān) dev eth2 src 網(wǎng)通IP table cnc

　　ip route add 192.168.0.0/24 dev eth0 scope link src 192.168.0.1 table ctc

　　ip rule add from 網(wǎng)通IP table cnc

　　3. iptables打標(biāo)記+iproute2 fwmark

　　1)使用 CONNMARK 對(duì)連接進(jìn)行標(biāo)記

　　外網(wǎng)進(jìn)來(lái)數(shù)據(jù)

　　iptables -t mangle -A PREROUTING -i eth1 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x100

　　iptables -t mangle -A PREROUTING -i eth2 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x200

　　轉(zhuǎn)發(fā)出去的數(shù)據(jù)

　　iptables -t mangle -A POSTROUTING -o eth1 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x100

　　iptables -t mangle -A POSTROUTING -o eth2 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x200

　　局域網(wǎng)進(jìn)來(lái)數(shù)據(jù)

　　iptables -t mangle -A PREROUTING -i eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark

　　本地出去數(shù)據(jù)

　　iptables -t mangle -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark

　　2)在 IPROUTE2 中做基于 fwmark 的策略路由

　　ip rule add fwmark 0x100 table ctc prio 40

　　ip rule add fwmark 0x200 table cnc prio 40

　　3)添加原路返回路由

　　ip route add table ctc to $CTC_NET dev eth1 scope link

　　ip route add table ctc to $CNC_NET dev eth2 scope link

　　ip route add table ctc to 192.168.0.0/24 dev eth0 scope link

　　ip route add default via 電信網(wǎng)關(guān) dev eth1 table ctc

　　ip route add table cnc to $CTC_NET dev eth1 scope link

　　ip route add table cnc to $CNC_NET dev eth2 scope link

　　ip route add table cnc to 192.168.0.0/24 dev eth0 scope link

　　ip route add default via 網(wǎng)通網(wǎng)關(guān) dev eth2 table cnc

　　Iptables/NAT 規(guī)則

　　/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 局域網(wǎng)網(wǎng)段 -j SNAT --to-source 電信外網(wǎng)IP

　　/sbin/iptables -t nat -A POSTROUTING -o eth2 -s 局域網(wǎng)網(wǎng)段 -j SNAT --to-source 網(wǎng)通外網(wǎng)IP

　　如果外網(wǎng)IP是動(dòng)態(tài)的，可以用 MASQUERADE

　　/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 局域網(wǎng)網(wǎng)段 -j MASQUERADE

　　/sbin/iptables -t nat -A POSTROUTING -o eth2 -s 局域網(wǎng)網(wǎng)段 -j MASQUERADE

　　端口映射

　　端口映射可以分別針對(duì)兩條線(xiàn)做端口映射

　　比如 LAN口的IP為 192.168.0.1,內(nèi)網(wǎng)服務(wù)器IP為 192.168.0.100,映射端口為 80

　　iptables -t nat -A PREROUTING -p tcp --dport 80 -d 電信IP -j DNAT --to-destination 192.168.0.100

　　iptables -t nat -A PREROUTING -p tcp --dport 80 -d 網(wǎng)通IP -j DNAT --to-destination 192.168.0.100

　　端口回流(內(nèi)網(wǎng)可以通過(guò)外網(wǎng)IP訪(fǎng)問(wèn)映射后的服務(wù)器)

　　iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 --dport 80 -d 192.168.0.100 -j SNAT --to-source 192.168.0.1

　　[注]:上述規(guī)則應(yīng)放到 NAT 規(guī)則之前

　　常見(jiàn)問(wèn)題(FAQ)

　　1. 不能實(shí)現(xiàn) "交叉訪(fǎng)問(wèn)" 到服務(wù)器

　　即：會(huì)出現(xiàn)外網(wǎng)電信用戶(hù)只能通過(guò)電信IP訪(fǎng)問(wèn)到服務(wù)器，而通過(guò)網(wǎng)通IP訪(fǎng)問(wèn)不了;

　　同理，網(wǎng)通用戶(hù)只能通過(guò)網(wǎng)通IP訪(fǎng)問(wèn)到服務(wù)器，而通過(guò)電信IP卻訪(fǎng)問(wèn)不了。也就是只是單純地解決了 "內(nèi)網(wǎng)訪(fǎng)問(wèn)哪里，走哪條線(xiàn)路"

　　答：電信用戶(hù)通過(guò)網(wǎng)通IP訪(fǎng)問(wèn)時(shí)，數(shù)據(jù)到達(dá)了服務(wù)器上，本應(yīng)該從網(wǎng)通的線(xiàn)路返回的，但最終卻從電信的線(xiàn)路出去了，這樣的數(shù)據(jù)會(huì)被上層網(wǎng)關(guān)丟棄。

　　此時(shí)需要加入 "原路返回路由" ,實(shí)現(xiàn) "從哪條線(xiàn)來(lái)的，依然從哪條線(xiàn)返回".

　　2. 外網(wǎng)用戶(hù)不能交叉訪(fǎng)問(wèn)映射后的內(nèi)網(wǎng)服務(wù)器

　　即：電信用戶(hù)可以通過(guò)電信IP訪(fǎng)問(wèn)到內(nèi)網(wǎng)服務(wù)器，網(wǎng)通用戶(hù)可以通過(guò)網(wǎng)通IP訪(fǎng)問(wèn)到內(nèi)網(wǎng)服務(wù)器

　　但是：網(wǎng)通用戶(hù)不能通過(guò)電信IP訪(fǎng)問(wèn)到內(nèi)網(wǎng)服務(wù)器，電信用戶(hù)也不能網(wǎng)通IP訪(fǎng)問(wèn)到內(nèi)網(wǎng)服務(wù)器

　　答：路由緩存引起的，給內(nèi)核打補(bǔ)丁，或每隔 2 秒左右刷新路由緩存

　　3. 內(nèi)網(wǎng)用戶(hù)不能通過(guò)外網(wǎng)IP訪(fǎng)問(wèn)內(nèi)網(wǎng)服務(wù)器

　　答：a. 沒(méi)有做SNAT(端口回流)，加入回流規(guī)則即可

　　b. 加入 "原路返回路由" 時(shí)，沒(méi)有將局域網(wǎng)的路由加入進(jìn)去

　　深入探討

　　1. 上述三種方式哪一種效率最高? 如何來(lái)評(píng)估 ?

　　2. 雙線(xiàn)失效保護(hù)，即掉線(xiàn)自動(dòng)切換的實(shí)現(xiàn)(定時(shí)探測(cè)每條線(xiàn)路的連通性)

　　3. 通過(guò)方式實(shí)現(xiàn)虛擬雙線(xiàn)，即傳說(shuō)中的"借線(xiàn)"

　　4. 內(nèi)網(wǎng)訪(fǎng)問(wèn)指定外網(wǎng)IP時(shí)走指定線(xiàn)路，指定內(nèi)網(wǎng)IP上網(wǎng)走指定線(xiàn)路

　　以上就是關(guān)于雙線(xiàn)策略路由的三種實(shí)現(xiàn)方式總結(jié)和端口映射的一些常見(jiàn)問(wèn)題