运行商专线负载均衡出去,防火墙如何配置track监测,检测到其中一条运行商专线down掉之后,流量自动全部从另外一条专线出去
(0)
最佳答案
配置负载均衡的时候可以配置探测的
用户从两个运营商ISP 1和ISP 2处分别租用了链路Link 1和Link 2,这两条链路的路由器跳数、带宽和成本均相同,但Link 1的网络延迟小于Link 2。通过配置链路负载均衡,使Host访问Server时优先选择这两条链路中的最优链路。
图1-4 出方向链路负载均衡基本组网配置组网图
(3) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(4) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/3
[Device-security-zone-Trust] quit
(5) 配置安全策略
配置安全策略放行Trust与Untrust安全域、Local与Untrust安全域之间的流量,用于用户访问外网服务器。
# 配置名称为lbrule1的安全策略规则,使用户可以访问外网服务器,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name lbrule1
[Device-security-policy-ip-1-lbrule1] source-zone trust
[Device-security-policy-ip-1-lbrule1] destination-zone untrust
[Device-security-policy-ip-1-lbrule1] source-ip-subnet 192.168.1.0 255.255.255.0
[Device-security-policy-ip-1-lbrule1] action pass
[Device-security-policy-ip-1-lbrule1] quit
# 配置名称为lblocalout的安全策略规则,使Device可以向链路下一跳发送健康检测报文,具体配置步骤如下。
[Device-security-policy-ip] rule name lblocalout
[Device-security-policy-ip-2-lblocalout] source-zone local
[Device-security-policy-ip-2-lblocalout] destination-zone untrust
[Device-security-policy-ip-2-lblocalout] destination-ip-subnet 10.1.1.0 255.255.255.0
[Device-security-policy-ip-2-lblocalout] destination-ip-subnet 20.1.1.0 255.255.255.0
[Device-security-policy-ip-2-lblocalout] action pass
[Device-security-policy-ip-2-lblocalout] quit
[Device-security-policy-ip] quit
(6) 配置链路组
# 创建ICMP类型的NQA模板t1,并配置每次探测结果发送机制。
[Device] nqa template icmp t1
[Device-nqatplt-icmp-t1] reaction trigger per-probe
[Device-nqatplt-icmp-t1] quit
# 指定缺省就近性探测方法为t1,并配置就近性计算的网络延迟权值为200。
[Device] loadbalance proximity
[Device-lb-proximity] match default probe t1
[Device-lb-proximity] rtt weight 200
[Device-lb-proximity] quit
# 创建链路组lg,开启就近性功能,关闭NAT功能。
[Device] loadbalance link-group lg
[Device-lb-lgroup-lg] proximity enable
[Device-lb-lgroup-lg] transparent enable
[Device-lb-lgroup-lg] quit
(7) 配置链路
# 创建链路link1和link2,配置link1的下一跳IPv4地址为10.1.1.2,link2的下一跳IPv4地址为20.1.1.2,加入链路组lg。
[Device] loadbalance link link1
[Device-lb-link-link1] router ip 10.1.1.2
[Device-lb-link-link1] link-group lg
[Device-lb-link-link1] quit
[Device] loadbalance link link2
[Device-lb-link-link2] router ip 20.1.1.2
[Device-lb-link-link2] link-group lg
[Device-lb-link-link2] quit
(8) 配置虚服务器
# 创建LINK-IP类型的虚服务器vs,配置其VSIP为通配0.0.0.0/0,指定其缺省主用链路组为lg,并开启此虚服务器。
[Device] virtual-server vs type link-ip
[Device-vs-link-ip-vs] virtual ip address 0.0.0.0 0
[Device-vs-link-ip-vs] default link-group lg
[Device-vs-link-ip-vs] service enable
[Device-vs-link-ip-vs] quit
(0)
近期碰到工程师组网时,有如下需求,在组网的出口是我司的一台F1080防火墙,出口线路为一条移动100M和两条50M的联通链路。
工程师希望:
(1)内网用户在进行外网访问时,根据DNS解析出的目的地址所在的运营商类型,让出口流量走相应的运营商出口线路,非移动联通运营商归属的地址,选择配置一条默认的运营商线路走。
(2)对于DNS解析出的目的地址为联通的,需要由两条联通的出口线路出去流量,使用简单的轮询机制在两条联通出口线路间进行负载均衡选路即可。
为了实现工程师的需求,我们根据工程师现网已有资源和相关环境进行了规划和指导。
,为了实现工程师的需求,我们根据工程师现网已有资源和相关环境进行了组网规划,大致组网图如下:
组网说明:
1.内网终端使用网段为192.168.0.0/16
2.内网的网络出口为我司的F1080高性能防火墙,在该组网中使用该型号防火墙通过配置来实现组网中的负载均衡需求
3.防火墙连接移动线路的公网出口地址为100.0.0.1,该移动线路出口带宽为100M
4.防火墙连接联通线路的公网出口有两条,分别为与RT3相连的接口,地址为200.0.0.1,该线路出口带宽为50M
另一条与RT4连接的公网出口地址为200.1.0.1,该联通线路出口带宽也为50M。
5.根据内网访问公网时的DNS解析出的目的地址所属的运营商进行出口选路,目的地址归属移动的走移动出口,目的地址归属联通的在联通两个出口中进行轮询的方式选择一条线路出去(官网给出的出方向链路负载均衡配置指导为配置就近行探测后选择一条链路质量优的链路走,有工程师咨询配置该方式后出现另一条线路不走流量的情况,建议参考本案例修改)
6.当DNS解析后的目的地址非移动联通所属地址时,走默认出口为移动链路。
1.配置相应的安全域和域间策略,V7防火墙下默认所有的安全域之间都是没有放通的,这点配置时请注意,在出口(三层物理口或者三层Vlan虚接口)下注意配置nat outbound,此处不作为重点介绍,请自行配置。
2.负载均衡配置:
# //配置NQA探测模板t1,用来探测链路质量
nqa template icmp t1
reaction trigger per-probe //将探测结果进行回送反馈
quit
#
loadbalance link-group lg1 //创建链路组1
predictor hash address source-ip-port //配置链路组内链路调度算法为原地址hash方式
transparent enable
probe t1
#
loadbalance link-group lg2 //创建链路组2
predictor hash address source-ip-port //配置链路组内链路调度算法为原地址hash方式
transparent enable
probe t1
#
loadbalance class lc1 type link-generic //创建去往移动出口的负载均衡类lc1
match 1 isp cmcc //匹配DNS解析的地址为所属移动
#
loadbalance action la1 type link-generic //创建负载均衡动作la1,类型为链路负载均衡类
link-group lg1 //流量走链路组lg1
fallback-action continue
#
loadbalance class lc2 type link-generic //创建去往联通出口的负载均衡类lc2
match 1 isp cnc //匹配DNS解析的地址为所属联通
#
loadbalance action la2 type link-generic //创建负载均衡动作la2,类型为链路负载均衡类
link-group lg2 //流量走链路组lg2
fallback-action continue
#
loadbalance policy lp type link-generic //创建负载均衡策略lp
class lc1 action la1 //将类lc1和动作la1进行绑定
class lc2 action la2 //将类lc2和动作la2进行绑定
#
virtual-server vs type link-ip //创建链路负载型的虚服务
virtual ip address 0.0.0.0 0 //对所有的地址做虚服务的匹配操作
lb-policy lp //执行链路负载均衡策略lp
default link-group lg2 //对于未匹配上的流量走默认走链路组lg2
service enable
#
loadbalance isp file lbispinfo.tp //导入运营商归属地址的文件,下载链接http://www.h3c.com/cn/Service/Software_Download/IP_Security/ISP_File/LB_ISP_File/从该链接中下载文件后进行解压上传至设备根目录中。
#
loadbalance link link1 //创建移动链路link1
router ip 100.0.0.2 //移动下一跳地址
link-group lg1 //将链路1加入链路组1
probe t1
#
loadbalance link link2 //创建联通链路link2
router ip 200.0.0.2 //联通链路1下一跳地址
link-group lg2 //归属链路组lg2
probe t1
#
loadbalance link link3 //创建联通链路link3
router ip 200.1.0.2 //联通链路2下一跳地址
link-group lg2 //归属链路组lg2
probe lt
#
1.配置过程中注意注意在每条链路及链路组中添加probe的链路探测模板t1,用于检验链路质量并进行链路信息反馈
2.要实现基于运营商的链路负载均衡,一定要在配置之前先从华三官网链接http://www.h3c.com/cn/Service/Software_Download/IP_Security/ISP_File/LB_ISP_File/下下载相应的ISP地址文件然后在进行类的配置。
3.由以上配置过程大家可以看出:
(1)如果需要对流量做基于不同运营商DNS解析的地址进行选路,我们可以将不同运营商的出口链路分别加入不同的链路组,然后配置相应的负载均衡类对地址进行识别,然后再按照策略中的负载均衡动作进行相应运营商出口所在链路组的选取,如果策略中的类匹配成功则流量走该策略中动作指定的链路组内的出口链路。
(2)本案例中将两条联通线路加入了链路组2中,由于本案例中未对链路组2进行选路算法及规则的配置,则链路组2内使用默认的轮询算法进行两个联通出口链路的选路。若无基于DNS解析的选路需求,则直接可以将不同的运营商链路加入同一个链路组中,然后根据链路组内配置的相应算法进行选路。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论