免费注册 查看新帖 |

ChinaUnix.net

  平台 论坛 博客 文库 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 1074 | 回复: 0

[网络管理] 求助,双物理网卡,联通电信双线接入的原路返回策略路由 [复制链接]

论坛徽章:
1
2015年辞旧岁徽章
日期:2015-03-03 16:54:15
发表于 2018-07-12 17:47 |显示全部楼层
本帖最后由 c3po 于 2018-07-12 17:55 编辑

本人今日新装接入服务端口1194,就不说敏感的名字了。
有两个接入宽带,分别是电信和联通。
需要接入的同事分布在天南地北,电信联通都有,以前都在电信线路上接入服务,用联通的同事很痛苦。
于是开始:
服务器装的是CentOS6.9 64位。
两个物理网卡eth0和eth1
eth0:192.168.100.10/29 GW:192.168.100.9,1194端口映射到电信出口IP的1194
eth1:192.168.100.18/29 GW:192.168.100.17,1194端口映射到联通出口IP的1194
目的:电信、联通同事分别配置入口IP为相应的线路,从电信进入的,数据流量从100.10进入和返还,从联通接入的,数据流量从100.18进入和返还。参考文档:
https://blog.csdn.net/MillDragon/article/details/51757107
http://jensd.be/468/linux/two-network-cards-rp_filter

结果是:电信进入的没问题,很快建立起网络。从联通进入的,不能成功握手。
不知道还有哪里错了,请大神抽空帮忙诊断一下谢谢!

网络信息:
  1. [root@ov network-scripts]# ip addr
  2. 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
  3.     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
  4.     inet 127.0.0.1/8 scope host lo
  5.     inet6 ::1/128 scope host
  6.        valid_lft forever preferred_lft forever
  7. 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
  8.     link/ether 5c:f3:fc:af:b9:f9 brd ff:ff:ff:ff:ff:ff
  9.     inet 192.168.100.10/29 brd 192.168.100.15 scope global eth0
  10.     inet6 fe80::5ef3:fcff:feaf:b9f9/64 scope link
  11.        valid_lft forever preferred_lft forever
  12. 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
  13.     link/ether 5c:f3:fc:af:b9:fa brd ff:ff:ff:ff:ff:ff
  14.     inet 192.168.100.18/29 brd 192.168.100.23 scope global eth1
  15.     inet6 fe80::5ef3:fcff:feaf:b9fa/64 scope link
  16.        valid_lft forever preferred_lft forever
复制代码



物理网卡1:
  1. [root@ov network-scripts]# cat ifcfg-eth0
  2. DEVICE=eth0
  3. TYPE=Ethernet
  4. UUID=91c13ece-b2ef-4a90-8411-4c6b4d71dd5b
  5. ONBOOT=yes
  6. NM_CONTROLLED=yes
  7. BOOTPROTO=static
  8. DEFROUTE=yes
  9. IPV4_FAILURE_FATAL=yes
  10. IPV6INIT=no
  11. NAME="System eth0"
  12. HWADDR=5C:F3:FC:AF:B9:F9
  13. IPADDR=192.168.100.10
  14. NETMASK=255.255.255.248
  15. GATEWAY=192.168.100.9
  16. PEERDNS=yes
  17. PEERROUTES=yes
  18. DNS1=192.168.6.251
复制代码


物理网卡2:
  1. [root@ov network-scripts]# cat ifcfg-eth1
  2. DEVICE=eth1
  3. TYPE=Ethernet
  4. UUID=6f13e655-1ae1-487b-a723-0e9909aecabd
  5. ONBOOT=yes
  6. NM_CONTROLLED=yes
  7. BOOTPROTO=static
  8. DEFROUTE=yes
  9. IPV4_FAILURE_FATAL=yes
  10. IPV6INIT=no
  11. NAME="System eth1"
  12. HWADDR=5C:F3:FC:AF:B9:FA
  13. IPADDR=192.168.100.18
  14. NETMASK=255.255.255.248
  15. #GATEWAY=192.168.100.17
  16. PEERDNS=yes
  17. PEERROUTES=yes
复制代码


路由表:
  1. [root@ov network-scripts]# cat /etc/iproute2/rt_tables
  2. #
  3. # reserved values
  4. #
  5. 255     local
  6. 254     main
  7. 253     default
  8. 252    e1
  9. 251    e0
  10. 0       unspec
  11. #
  12. # local
  13. #
  14. #1      inr.ruhep
复制代码


路由策略添加:
[root@ov ~]# cat /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
ip route flush table e0
ip route add default via 192.168.100.9 dev eth0 src 192.168.100.10 table e0
ip rule add from 192.168.100.10 table e0 priority 100
ip route flush table e1
ip route add default via 192.168.100.17 dev eth1 src 192.168.100.18 table e1
ip rule add from 192.168.100.18 table e1 priority 200
touch /var/lock/subsys/local


路由状态:10.33@ tun0是服务网段
[root@ov ~]# ip route sh
10.33.0.2 dev tun0  proto kernel  scope link  src 10.33.0.1
192.168.100.16/29 dev eth1  proto kernel  scope link  src 192.168.100.18
192.168.100.8/29 dev eth0  proto kernel  scope link  src 192.168.100.10
169.254.0.0/16 dev eth0  scope link  metric 1002
169.254.0.0/16 dev eth1  scope link  metric 1003
10.33.0.0/16 via 10.33.0.2 dev tun0
default via 192.168.100.9 dev eth0
[root@ov ~]# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.33.0.2      *               255.255.255.255 UH        0 0          0 tun0
192.168.100.16   *               255.255.255.248 U         0 0          0 eth1
192.168.100.8    *               255.255.255.248 U         0 0          0 eth0
link-local      *               255.255.0.0     U         0 0          0 eth0
link-local      *               255.255.0.0     U         0 0          0 eth1
10.33.0.0      10.33.0.2      255.255.0.0     UG        0 0          0 tun0
default         192.168.100.9    0.0.0.0         UG        0 0          0 eth0




向192.168.100.18IP拨号时的服务器抓包:eth1,18这个IP根本不回应。
[root@ov ~]# tcpdump -i eth1 host 192.168.5.195
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
17:07:46.778149 IP 192.168.5.195.65270 > 192.168.100.18.openvpn: UDP, length 42
17:07:48.110191 IP 192.168.5.195.65270 > 192.168.100.18.openvpn: UDP, length 42
17:07:52.023330 IP 192.168.5.195.65270 > 192.168.100.18.openvpn: UDP, length 42
17:08:00.563053 IP 192.168.5.195.65270 > 192.168.100.18.openvpn: UDP, length 42
17:08:16.721608 IP 192.168.5.195.65270 > 192.168.100.18.openvpn: UDP, length 42
17:08:46.981310 IP 192.168.5.195.57264 > 192.168.100.18.openvpn: UDP, length 42
17:08:49.429418 IP 192.168.5.195.57264 > 192.168.100.18.openvpn: UDP, length 42
17:08:53.062657 IP 192.168.5.195.57264 > 192.168.100.18.openvpn: UDP, length 42
17:09:01.594820 IP 192.168.5.195.57264 > 192.168.100.18.openvpn: UDP, length 42
17:09:17.411732 IP 192.168.5.195.57264 > 192.168.100.18.openvpn: UDP, length 42




同时在服务器上对eth0抓包:原来回应全都从100.10发出,这个TLS肯定不会握手成功啦
[root@ov ~]# tcpdump -i eth0 host 192.168.5.195
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:08:46.981640 IP 192.168.100.10.openvpn > 192.168.5.195.57264: UDP, length 54
17:08:48.239404 IP 192.168.100.10.openvpn > 192.168.5.195.57264: UDP, length 42
17:08:49.429518 IP 192.168.100.10.openvpn > 192.168.5.195.57264: UDP, length 50
17:08:52.709061 IP 192.168.100.10.openvpn > 192.168.5.195.57264: UDP, length 42
17:08:53.062757 IP 192.168.100.10.openvpn > 192.168.5.195.57264: UDP, length 50
17:09:01.019349 IP 192.168.100.10.openvpn > 192.168.5.195.57264: UDP, length 42
17:09:01.594916 IP 192.168.100.10.openvpn > 192.168.5.195.57264: UDP, length 50
17:09:17.411826 IP 192.168.100.10.openvpn > 192.168.5.195.57264: UDP, length 54
17:09:47.234508 IP 192.168.100.10.openvpn > 192.168.5.195.62472: UDP, length 54
17:09:49.256716 IP 192.168.100.10.openvpn > 192.168.5.195.62472: UDP, length 42
17:09:49.813442 IP 192.168.100.10.openvpn > 192.168.5.195.62472: UDP, length 50
17:09:53.702156 IP 192.168.100.10.openvpn > 192.168.5.195.62472: UDP, length 54


您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

数据风云,十年变迁
DTCC 第十届中国数据库技术大会已启航!

2019年5月8日~5月10日,由IT168旗下ITPUB企业社区平台主办的第十届中国数据库技术大会(DTCC2019),将在北京隆重召开。大会将邀请百余位行业专家,就热点技术话题进行分享,是广大数据领域从业人士的又一次年度盛会和交流平台。与SACC2018类似,本届大会将采用“3+2”模式:3天传统技术演讲+2天深度主题培训。大会不仅提供超100场的主题演讲,还会提供连续2天的深度课程培训,深化数据领域的项目落地实践方案。
DTCC2019,一场值得期待的数据技术盛会,殷切地希望您报名参与!

活动入口>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP