了解一些關(guān)于雙線策略路由的知識(shí)還是很用的，這里我們主要講解了雙線策略路由的三種實(shí)現(xiàn)方式，參考了下論壇中關(guān)于電信＋網(wǎng)通雙線策略路由的帖子，并結(jié)合實(shí)際環(huán)境，將實(shí)現(xiàn)雙線策略路由的幾種方式總結(jié)如下，希望對(duì)有需要的朋友有所幫助，雙線比單線要復(fù)雜多了，但把雙線策略路由的原理弄明白了，就會(huì)發(fā)現(xiàn)其實(shí)并不難。

雙線路由策略的實(shí)現(xiàn)

1.靜態(tài)路由方式（這種方式是最簡(jiǎn)單的）

1)設(shè)置默認(rèn)路由，比如電信

iproutereplacedefaultvia電信網(wǎng)關(guān)deveth1

2)設(shè)置雙線策略路由，對(duì)另外一條線路

iprouteadd網(wǎng)通路由表1via網(wǎng)通網(wǎng)關(guān)deveth2metric1
iprouteadd網(wǎng)通路由表2via網(wǎng)通網(wǎng)關(guān)deveth2metric1
....

3)添加原路返回路由

雙線策略路由規(guī)則設(shè)置完后，還要為每條線路加入相應(yīng)的“原路返回路由”（從哪條線進(jìn)來(lái)的數(shù)據(jù)，最終還是從這條線出去），不然就會(huì)出現(xiàn)這樣的問(wèn)題：電信用戶通過(guò)網(wǎng)通的IP訪問(wèn)不到服務(wù)器，網(wǎng)通用戶也不能通過(guò)電信IP訪問(wèn)到服務(wù)器。

iprouteflushtable100
iprouteadddefaultvia電信網(wǎng)關(guān)deveth1src電信IPtable100prio50
ipruleaddfrom電信IPtable100
iprouteflushtable200
iprouteadddefaultvia網(wǎng)通網(wǎng)關(guān)deveth2src網(wǎng)通IPtable200prio50
ipruleaddfrom網(wǎng)通IPtable200
iprouteadd192.168.0.0/24deveth0scopelinksrc192.168.0.1table100
iprouteadd192.168.0.0/24deveth0scopelinksrc192.168.0.1table200

2.雙線策略路由方式

為了方便，我們?cè)黾?個(gè)雙線策略路由表，電信=>100，網(wǎng)通=>200，這樣再添加規(guī)則時(shí)，就可以直接用自定義的名稱來(lái)替代數(shù)字

echo"100ctc"　>>/etc/iproute2/rt_tables
echo"200cnc">>　/etc/iproute2/rt_tables

1）設(shè)置默認(rèn)路由（電信）
iproutereplacedefaultvia電信網(wǎng)關(guān)deveth1

2）對(duì)網(wǎng)通進(jìn)行基于目的地址的雙線策略路由
ipruleaddto網(wǎng)通路由表1tablecncprio100
ipruleaddto網(wǎng)通路由表2tablecncprio100
....

3）添加原路返回路由
prouteflushtablectc
iprouteadddefaultvia電信網(wǎng)關(guān)deveth1src電信IPtablectc
iprouteadd192.168.0.0/24deveth0scopelinksrc192.168.0.1tablectc
ipruleaddfrom電信IPtablectc
iprouteflushtablecnc
iprouteadddefaultvia網(wǎng)通網(wǎng)關(guān)deveth2src網(wǎng)通IPtablecnc
iprouteadd192.168.0.0/24deveth0scopelinksrc192.168.0.1tablectc
ipruleaddfrom網(wǎng)通IPtablecnc

3.iptables打標(biāo)記＋iproute2fwmark

1）使用CONNMARK對(duì)連接進(jìn)行標(biāo)記

外網(wǎng)進(jìn)來(lái)數(shù)據(jù)
iptables-tmangle-APREROUTING-ieth1-mconntrack--ctstateNEW-jCONNMARK--set-mark0x100
iptables-tmangle-APREROUTING-ieth2-mconntrack--ctstateNEW-jCONNMARK--set-mark0x200

轉(zhuǎn)發(fā)出去的數(shù)據(jù)
iptables-tmangle-APOSTROUTING-oeth1-mconntrack--ctstateNEW-jCONNMARK--set-mark0x100
iptables-tmangle-APOSTROUTING-oeth2-mconntrack--ctstateNEW-jCONNMARK--set-mark0x200

局域網(wǎng)進(jìn)來(lái)數(shù)據(jù)
iptables-tmangle-APREROUTING-ieth0-mconntrack--ctstateESTABLISHED,RELATED-jCONNMARK--restore-mark

本地出去數(shù)據(jù)
iptables-tmangle-AOUTPUT-mconntrack--ctstateESTABLISHED,RELATED-jCONNMARK--restore-mark

2）在IPROUTE2中做基于fwmark的雙線策略路由

ipruleaddfwmark0x100tablectcprio40
ipruleaddfwmark0x200tablecncprio40

3）添加原路返回路由

iprouteaddtablectcto$CTC_NETdeveth1scopelink
iprouteaddtablectcto$CNC_NETdeveth2scopelink
iprouteaddtablectcto192.168.0.0/24deveth0scopelink
iprouteadddefaultvia電信網(wǎng)關(guān)deveth1tablectc
iprouteaddtablecncto$CTC_NETdeveth1scopelink
iprouteaddtablecncto$CNC_NETdeveth2scopelink
iprouteaddtablecncto192.168.0.0/24deveth0scopelink
iprouteadddefaultvia網(wǎng)通網(wǎng)關(guān)deveth2tablecnc

Iptables/NAT規(guī)則

sbin/iptables-tnat-APOSTROUTING-oeth1-s局域網(wǎng)網(wǎng)段-jSNAT--to-source電信外網(wǎng)IP
sbin/iptables-tnat-APOSTROUTING-oeth2-s局域網(wǎng)網(wǎng)段-jSNAT--to-source網(wǎng)通外網(wǎng)IP

如果外網(wǎng)IP是動(dòng)態(tài)的，可以用MASQUERADE

sbin/iptables-tnat-APOSTROUTING-oeth1-s局域網(wǎng)網(wǎng)段-jMASQUERADE
sbin/iptables-tnat-APOSTROUTING-oeth2-s局域網(wǎng)網(wǎng)段-jMASQUERADE