組網圖形
組網需求
通過配置根據鏈路頻寬負載分擔,使流量按照頻寬的比例分擔到各鏈路上,保證頻寬資源得到充分利用。
如圖1所示,企業分別從ISP1和ISP2租用了一條鏈路,ISP1鏈路的頻寬為100M,ISP2鏈路的頻寬為50M。
- 企業希望流量按照頻寬比例分擔到ISP1和ISP2鏈路上,保證頻寬資源得到充分利用。
- 當其中一條ISP鏈路過載時,後續流量將通過另一條ISP鏈路傳輸,提高訪問的可靠性。
配置思路
由於企業希望上網流量能夠根據頻寬比例進行分配,所以智慧選路的方式設定為根據鏈路頻寬負載分擔。為了保證鏈路故障或過載時,FW可以使用其他鏈路轉發流量,還需要配置健康檢查功能和鏈路過載保護功能。
- 1.可選:配置健康檢查功能,分別為ISP1和ISP2鏈路配置健康檢查。
- 2.配置介面的IP地址、安全區域、閘道器地址、頻寬和過載保護閾值,並在介面上應用健康檢查。
- 3.配置全域性選路策略。配置智慧選路方式為根據鏈路頻寬負載分擔,並指定FW和ISP1、ISP2網路直連的出介面作為智慧選路成員介面。
- 4.配置基本的安全策略,允許企業內網使用者訪問外網資源。
說明:
本例著重介紹智慧選路相關的配置,其餘配置如NAT請根據實際組網進行配置。
操作步驟
- 1.可選:開啟健康檢查功能,併為ISP1和ISP2鏈路分別新建一個健康檢查。假設ISP1網路的目的地址網段為3.3.10.0/24,ISP2網路的目的地址網段為9.9.20.0/24。
<FW> system-view [FW] healthcheck enable [FW] healthcheck name isp1_health [FW-healthcheck-isp1_health] destination 3.3.10.10 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10001 [FW-healthcheck-isp1_health] destination 3.3.10.11 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10002 [FW-healthcheck-isp1_health] quit [FW] healthcheck name isp2_health [FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10003 [FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10004 [FW-healthcheck-isp2_health] quit
- 2.配置介面的IP地址和閘道器地址,配置介面所在鏈路的頻寬和過載保護閾值,並應用對應的健康檢查。
[FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0 [FW-GigabitEthernet1/0/1] gateway 1.1.1.254 [FW-GigabitEthernet1/0/1] bandwidth ingress 50000 threshold 90 [FW-GigabitEthernet1/0/1] bandwidth egress 50000 threshold 90 [FW-GigabitEthernet1/0/1] healthcheck isp1_health [FW-GigabitEthernet1/0/1] quit [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0 [FW-GigabitEthernet1/0/3] quit [FW] interface GigabitEthernet 1/0/7 [FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0 [FW-GigabitEthernet1/0/7] gateway 2.2.2.254 [FW-GigabitEthernet1/0/7] bandwidth ingress 10000 threshold 90 [FW-GigabitEthernet1/0/7] bandwidth egress 10000 threshold 90 [FW-GigabitEthernet1/0/7] healthcheck isp2_health [FW-GigabitEthernet1/0/7] quit
- 3.配置全域性選路策略,流量根據鏈路優先順序負載分擔。
[FW] multi-interface [FW-multi-inter] mode priority-of-userdefine [FW-multi-inter] standby-interface status down [FW-multi-inter] add interface GigabitEthernet1/0/1 priority 2 [FW-multi-inter] add interface GigabitEthernet1/0/7 [FW-multi-inter] quit
- 4.將介面加入安全區域。
[FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/3 [FW-zone-trust] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-zone-untrust] add interface GigabitEthernet 1/0/7 [FW-zone-untrust] quit
- 5.配置Local到Untrust區域的安全策略,允許FW向目的裝置傳送相應的健康檢查探測報文。
[FW] security-policy [FW-policy-security] rule name policy_sec_local_untrust [FW-policy-security-rule-policy_sec_local_untrust] source-zone local [FW-policy-security-rule-policy_sec_local_untrust] destination-zone untrust [FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.10 32 [FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.11 32 [FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.20 32 [FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.21 32 [FW-policy-security-rule-policy_sec_local_untrust] service tcp [FW-policy-security-rule-policy_sec_local_untrust] action permit [FW-policy-security-rule-policy_sec_local_untrust] quit
- 6.配置Trust到Untrust區域的安全策略,允許企業內網使用者訪問外網資源。假設內部使用者網段為10.3.0.0/24。
[FW-policy-security] rule name policy_sec_trust_untrust [FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust [FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust [FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.3.0.0 24 [FW-policy-security-rule-policy_sec_trust_untrust] action permit [FW-policy-security-rule-policy_sec_trust_untrust] quit [FW-policy-security] quit