HUAWEI防火墙双出口据链路带宽负载分担
组网图形
组网需求
通过配置根据链路带宽负载分担,使流量按照带宽的比例分担到各链路上,保证带宽资源得到充分利用。
如图1所示,企业分别从ISP1和ISP2租用了一条链路,ISP1链路的带宽为100M,ISP2链路的带宽为50M。
- 企业希望流量按照带宽比例分担到ISP1和ISP2链路上,保证带宽资源得到充分利用。
- 当其中一条ISP链路过载时,后续流量将通过另一条ISP链路传输,提高访问的可靠性。
配置思路
由于企业希望上网流量能够根据带宽比例进行分配,所以智能选路的方式设置为根据链路带宽负载分担。为了保证链路故障或过载时,FW可以使用其他链路转发流量,还需要配置健康检查功能和链路过载保护功能。
- 1.可选:配置健康检查功能,分别为ISP1和ISP2链路配置健康检查。
- 2.配置接口的IP地址、安全区域、网关地址、带宽和过载保护阈值,并在接口上应用健康检查。
- 3.配置全局选路策略。配置智能选路方式为根据链路带宽负载分担,并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。
- 4.配置基本的安全策略,允许企业内网用户访问外网资源。
说明:
本例着重介绍智能选路相关的配置,其余配置如NAT请根据实际组网进行配置。
操作步骤
- 1.可选:开启健康检查功能,并为ISP1和ISP2链路分别新建一个健康检查。假设ISP1网络的目的地址网段为3.3.10.0/24,ISP2网络的目的地址网段为9.9.20.0/24。
1 2 3 4 5 6 7 8 9 10 | <FW> system-view[FW] healthcheck enable[FW] healthcheck name isp1_health[FW-healthcheck-isp1_health] destination 3.3.10.10 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10001[FW-healthcheck-isp1_health] destination 3.3.10.11 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10002[FW-healthcheck-isp1_health] quit[FW] healthcheck name isp2_health[FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10003[FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10004[FW-healthcheck-isp2_health] quit |
- 2.配置接口的IP地址和网关地址,配置接口所在链路的带宽和过载保护阈值,并应用对应的健康检查。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | [FW] interface GigabitEthernet 1/0/1[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0[FW-GigabitEthernet1/0/1] gateway 1.1.1.254[FW-GigabitEthernet1/0/1] bandwidth ingress 50000 threshold 90[FW-GigabitEthernet1/0/1] bandwidth egress 50000 threshold 90[FW-GigabitEthernet1/0/1] healthcheck isp1_health[FW-GigabitEthernet1/0/1] quit[FW] interface GigabitEthernet 1/0/3[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0[FW-GigabitEthernet1/0/3] quit[FW] interface GigabitEthernet 1/0/7[FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0[FW-GigabitEthernet1/0/7] gateway 2.2.2.254[FW-GigabitEthernet1/0/7] bandwidth ingress 10000 threshold 90[FW-GigabitEthernet1/0/7] bandwidth egress 10000 threshold 90[FW-GigabitEthernet1/0/7] healthcheck isp2_health[FW-GigabitEthernet1/0/7] quit |
- 3.配置全局选路策略,流量根据链路优先级负载分担。
1 2 3 4 5 6 | [FW] multi-interface[FW-multi-inter] mode priority-of-userdefine[FW-multi-inter] standby-interface status down[FW-multi-inter] add interface GigabitEthernet1/0/1 priority 2[FW-multi-inter] add interface GigabitEthernet1/0/7[FW-multi-inter] quit |
- 4.将接口加入安全区域。
1 2 3 4 5 6 7 | [FW] firewall zone trust[FW-zone-trust] add interface GigabitEthernet 1/0/3[FW-zone-trust] quit[FW] firewall zone untrust[FW-zone-untrust] add interface GigabitEthernet 1/0/1[FW-zone-untrust] add interface GigabitEthernet 1/0/7[FW-zone-untrust] quit |
- 5.配置Local到Untrust区域的安全策略,允许FW向目的设备发送相应的健康检查探测报文。
1 2 3 4 5 6 7 8 9 10 11 | [FW] security-policy[FW-policy-security] rule name policy_sec_local_untrust[FW-policy-security-rule-policy_sec_local_untrust] source-zone local[FW-policy-security-rule-policy_sec_local_untrust] destination-zone untrust[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.10 32[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.11 32[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.20 32[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.21 32[FW-policy-security-rule-policy_sec_local_untrust] service tcp[FW-policy-security-rule-policy_sec_local_untrust] action permit[FW-policy-security-rule-policy_sec_local_untrust] quit |
- 6.配置Trust到Untrust区域的安全策略,允许企业内网用户访问外网资源。假设内部用户网段为10.3.0.0/24。
1 2 3 4 5 6 7 | [FW-policy-security] rule name policy_sec_trust_untrust[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.3.0.0 24[FW-policy-security-rule-policy_sec_trust_untrust] action permit[FW-policy-security-rule-policy_sec_trust_untrust] quit[FW-policy-security] quit |
********** 如果您认为这篇文章还不错或者有所收获,请点击右下角的【推荐】/【赞助】按钮,因为您的支持是我继续创作分享的最大动力! **********
作者:讲文张字
出处:https://www.cnblogs.com/zhangwencheng
版权:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出 原文链接
出处:https://www.cnblogs.com/zhangwencheng
版权:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出 原文链接
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· 上周热点回顾(2.24-3.2)