配置负载均衡功能。
或者默认路由+保持上一跳
V7防火墙多WAN链路负载均衡配置方法(命令行)
目录
3.5.4 建立财务负载规则匹配172.16.0.0财务网段... 6
1 配置需求及说明
1.1 适用的产品系列
本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。
1.2 配置需求及实现的效果
某公司为达到业务流量快速转发和链路冗余需求申请了三条不同运营商的外网线路,需要实现如下需求:
1)要求内网用户访问目的地址为移动链路数据从移动链路转发、访问目的地址为联通链路数据从联通链路转发、访问目的地址为电信链路数据从电信链路转发需求。
2)财务部门因为经常访问网银等支付平台,目前不希望出口IP地址经常变化。指定财务数据从电信转发并希望当电信流量负载到带宽的90%后,后面流量负载到联通链路上。
2 组网图
说明:
ISP | 外网接口 | 公网地址/掩码 | 公网网关 |
移动 | 1/0/3 | 218.200.5.8/24 | 218.200.5.9 |
联通 | 1/0/2 | 14.204.0.2/24 | 14.204.0.1 |
电信 | 1/0/1 | 202.90.112.2/24 | 202.90.112.1 |
3 配置步骤
3.1 创建NQA探测组用于链路探测
探测组名称为nqa,描述为test。用于检测链路健康性。
<H3C>system
[H3C]nqa template icmp nqa
[H3C-nqatplt-icmp-nqa]description test
[H3C-nqatplt-icmp-nqa]reaction trigger per-probe
[H3C-nqatplt-icmp-nqa]quit
3.2 基本组网配置
3.2.1 外网接口配置
配置电信链路接口地址,并开启保存上一跳功能。
[H3C]interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1]ip address 202.90.112.2 255.255.255.0
[H3C-GigabitEthernet1/0/1]ip last-hop hold
[H3C-GigabitEthernet1/0/1]nat outbound
[H3C-GigabitEthernet1/0/1]quit
配置联通链路接口地址,并开启保存上一跳功能。
[H3C]interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2]ip address 14.204.0.2 255.255.255.0
[H3C-GigabitEthernet1/0/2]ip last-hop hold
[H3C-GigabitEthernet1/0/2]nat outbound
[H3C-GigabitEthernet1/0/2]quit
配置移动链路接口地址,并开启保存上一跳功能。
[H3C]interface GigabitEthernet1/0/3
[H3C-GigabitEthernet1/0/3]ip address 218.200.5.8 255.255.255.0
[H3C-GigabitEthernet1/0/3]ip last-hop hold
[H3C-GigabitEthernet1/0/3]nat outbound
[H3C-GigabitEthernet1/0/3]quit
3.2.2 安全域及安全策略配置
将外网接口加入不信任区域
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust]import interface Dialer1
[H3C-security-zone-Untrust]import interface GigabitEthernet1/0/1
[H3C-security-zone-Untrust]import interface GigabitEthernet1/0/2
[H3C-security-zone-Untrust]import interface GigabitEthernet1/0/3
[H3C-security-zone-Untrust]quit
创建对象策略pass,因为本章内容主要介绍负载均衡,域间策略采用最简配置请见谅。
[H3C]object-policy ip pass
[H3C-object-policy-ip-pass] rule 0 pass
[H3C-object-policy-ip-pass]quit
创建any到any域的域间策略调用pass策略。
[H3C]zone-pair security source any destination any
[H3C-zone-pair-security- Any-Any]object-policy apply ip pass
[H3C-zone-pair-security- Any-Any]quit
3.2.3 路由设置
设置路由防止在负载均衡配置前或者负载均衡失效后网络不通问题
[H3C]ip route-static 0.0.0.0 0 218.200.5.9 preference 80
[H3C]ip route-static 0.0.0.0 0 14.204.0.1 preference 70
[H3C]ip route-static 0.0.0.0 0 202.90.112.1
3.3 配置链路组
设置链路失败的reschedule:重定向连接,即把连接重定向到链路组中其它可用的链路上。并使用transparent enable关闭链路组本身的NAT功能并绑定nqa探测组。
3.3.1 配置移动链路组
[H3C]loadbalance link-group cmcc
[H3C-lb-lgroup-cmcc]fail-action reschedule
[H3C-lb-lgroup-cmcc]transparent enable
[H3C-lb-lgroup-cmcc]probe nqa.
[H3C-lb-lgroup-cmcc]quit
3.3.2 配置联通链路组
[H3C]loadbalance link-group cnc
[H3C-lb-lgroup-cnc]fail-action reschedule
[H3C-lb-lgroup-cnc]transparent enable
[H3C-lb-lgroup-cnc]probe nqa.
[H3C-lb-lgroup-cnc]quit
3.3.3 配置电信链路组
[H3C]loadbalance link-group china-isp
[H3C-lb-lgroup-china-isp]fail-action reschedule
[H3C-lb-lgroup-china-isp]transparent enable
[H3C-lb-lgroup-china-isp]probe nqa
[H3C-lb-lgroup-china-isp]quit
3.3.4 配置财务链路组
[H3C]loadbalance link-group caiwu
[H3C-lb-lgroup-caiwu]fail-action reschedule
[H3C-lb-lgroup-caiwu]transparent enable
[H3C-lb-lgroup-caiwu]probe nqa
[H3C-lb-lgroup-caiwu]quit
3.4 配置链路
router ip指链路的网关地址,将链路绑定链路组后该链路才能生效。
3.4.1 配置移动链路
[H3C]loadbalance link cmcc-link
[H3C-lb-link-cmcc-link]router ip 218.200.5.9
[H3C-lb-link-cmcc-link]link-group cmcc
[H3C-lb-link-cmcc-link]probe nqa
[H3C-lb-link-cmcc-link]quit
3.4.2 配置联通链路
[H3C]loadbalance link cnc-link
[H3C-lb-link-cnc-link]router ip 14.204.0.1
[H3C-lb-link-cnc-link]link-group cnc
[H3C-lb-link-cnc-link]probe nqa
[H3C-lb-link-cnc-link]quit
3.4.3 配置电信链路
将电信链路带宽调整为100M,设置带宽繁忙比当带宽利用率超过90%*100M=90M,新建session会负载到其他链路。
[H3C]loadbalance link chinanet-link
[H3C-lb-link-cnc-chinanet-link]router ip 202.90.112.1
[H3C-lb-link-cnc-chinanet-link]link-group china-isp
[H3C-lb-link-cnc-chinanet-link]probe nqa
[H3C-lb-link-cnc-chinanet-link]max-bandwidth outbound 102400
[H3C-lb-link-cnc-chinanet-link]bandwidth outbound busy-rate 90
[H3C-lb-link-cnc-chinanet-link]quit
3.4.4 配置财务链路
[H3C]loadbalance link link-caiwu
[H3C-lb-link- link-caiwu] router ip 202.90.112.1
[H3C-lb-link- link-caiwu] link-group caiwu
[H3C-lb-link- link-caiwu]quit
3.5 配置负载均衡规则匹配运营商路由表
3.5.1 建立移动负载规则匹配移动数据
[H3C]loadbalance class cmcc type link-generic match-any
[H3C-lbc-link-generic-cmcc]match 1 isp cmcc
[H3C-lbc-link-generic-cmcc]quit
3.5.2 建立联通负载规则匹配联通数据
[H3C]loadbalance class cnc type link-generic match-any
[H3C-lbc-link-generic-cnc]match 1 isp cnc
[H3C-lbc-link-generic-cnc]quit
3.5.3 建立电信负载规则匹配电信数据
[H3C]loadbalance class chinanet type link-generic match-any
[H3C-lbc-link-generic-chinanet]match 1 isp chinatel
[H3C-lbc-link-generic-chinanet]quit
3.5.4 建立财务负载规则匹配172.16.0.0财务网段
[H3C] loadbalance class caiwu type link-generic match-any
[H3C-lbc-link-generic-caiwu]match 1 source ip address 172.16.0.0 24
[H3C-lbc-link-generic-caiwu]quit
3.6 配置负载均衡行为匹配各链路组
配置负载行为绑定各链路组,设置转发失败规则为继续匹配。
3.6.1 建立移动负载均衡行为匹配移动链路组
[H3C]loadbalance action cmcc type link-generic
[H3C-lbc-link-generic- cmcc]link-group cmcc
[H3C-lbc-link-generic- cmcc]fallback-action continue
[H3C-lbc-link-generic- cmcc]quit
3.6.2 建立联通均衡行为匹配联通链路组
[H3C]loadbalance action cnc type link-generic
[H3C-lbc-link-generic-cnc]link-group cnc
[H3C-lbc-link-generic-cnc]fallback-action continue
[H3C-lbc-link-generic-cnc]quit
3.6.3 建立电信负载均衡行为匹配电信链路组
[H3C]loadbalance action chinanet type link-generic
[H3C-lbc-link-generic-chinanet]link-group china-isp
[H3C-lbc-link-generic-chinanet]fallback-action continue
[H3C-lbc-link-generic-chinanet]quit
3.6.4 建立财务负载均衡行为匹配财务链路组
[H3C]loadbalance action caiwu type link-generic
[H3C-lbc-link-generic-caiwu]link-group caiwu
[H3C-lbc-link-generic-caiwu]fallback-action continue
[H3C-lbc-link-generic-caiwu]quit
3.7 配置负载均衡策略
负载均衡策略严格按照配置顺序进行匹配,如果需要财务数据优先匹配需要将优先配置。
[H3C]loadbalance policy 1 type link-generic
[H3C-lbp-link-generic-1]class caiwu action caiwu
[H3C-lbp-link-generic-1]class chinanet action chinanet
[H3C-lbp-link-generic-1]class cmcc action cmcc
[H3C-lbp-link-generic-1]class cnc action cnc
3.8 配置虚服务策略
配置LB虚服务,虚服务地址为0.0.0.0/0表示内网访问所有的数据将会匹配虚服务进行转发,lb策略调用之前创建的策略1,如果无法匹配运营商的数据缺省从移动转发。
[H3C]virtual-server outbound type link-ip
[H3C-vs-link-ip-outbound]virtual ip address 0.0.0.0 0
[H3C-vs-link-ip-outbound]lb-policy 1
[H3C-vs-link-ip-outbound]default link-group cmcc
[H3C-vs-link-ip-outbound]service enable
[H3C-vs-link-ip-outbound]quit
3.9 保存配置
[H3C]quit
<H3C>save force
您好,以下是防火墙双WAN的配置案例,请参考:
配置步骤
3.1配置防火墙基本上网
# 外网接口G1/0/1配置运营商给的静态ip地址
interface GigabitEthernet1/0/1
ip address 198.76.28.30 255.255.255.252
nat outbound
# 外网接口G1/0/2配置运营商给的静态ip地址
interface GigabitEthernet1/0/2
ip address 198.77.28.30 255.255.255.252
nat outbound
# 内网接口G1/0/3配置自定义的内网静态ip地址
interface GigabitEthernet1/0/2
ip address 192.168.2.1 255.255.255.0
#将内网接口加入trust域
security-zone name trust
import interface GigabitEthernet1/0/3
#将外网接口加入untrust域
security-zone name Untrust
import interface GigabitEthernet1/0/1
import interface GigabitEthernet1/0/2
#配置安全策略
security-policy ip
rule 0 name trust-untrust (放通内网到外网的访问)
action pass
source-zone trust
destination-zone untrust
rule 1 name per-nqa (放通local安全域到外网探测地址114.114.114.114的访问,如不配置则无法正常使用nqa探测外网地址)
action pass
source-zone local
destination-zone untrust
destination-ip-host 114.114.114.114
3.2 配置链路检测
#创建管理员名为admin、操作标签为test的NQA测试组
[H3C]nqa entry admin test
#配置测试类型为ICMP-echo,ICMP-echo测试利用ICMP协议,根据是否接收到应答报文判断目的端设备的可达性。ICMP-echo测试的功能与ping命令类似,但ICMP-echo测试中可以指定测试的下一跳设备。在源端和目的端设备之间存在多条路径时,通过配置下一跳设备可以指定测试的路径
[H3C-nqa-admin-test-icmp-echo] type icmp-echo
配置监测公网的任意地址如114.114.114.114等,这样就可以规避掉运营商本身出现网络故障的风险
[H3C-nqa-admin-test-icmp-echo] destination ip 114.114.114.114
#配置测试组连续两次测试的时间间隔为3000ms
[H3C-nqa-admin-test-icmp-echo] frequency 3000
#配置探测报文的下一跳IP地址,这个一般在探测的目的地址不是网关地址的时候建议配置,本案例探测的目的地址是直连网关地址,可以不配置下一跳地址
[H3C-nqa-admin-test-icmp-echo] next-hop 198.76.28.29
#配置联动项1(连续失败3次触发联动)
[H3C-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[H3C-nqa-admin-test-icmp-echo]quit
#启动探测
[H3C] nqa schedule admin test start-time now lifetime forever
#配置Track项1,关联NQA测试组(管理员为admin,操作标签为test)的联动项1
[H3C] track 1 nqa entry admin test reaction 1
3.3配置静态路由
# 进入系统视图,配置两条默认路由,并且修改G1.0.2线路的默认路由优先级为80(默认路由优先级为60,值越大优先级越低)。设备固定IP上网路由与Track项1关联,作为主用路由。实现正常情况下流量全部从WAN1出去,链路出现故障时可切换到WAN2。
[H3C]ip route-static 0.0.0.0 0 198.76.28.29 track 1
[H3C]ip route-static 0.0.0.0 0 198.77.28.29 preference 80
[H3C]save force
# 两条链路都正常的时候track项状态为positive,路由也是走优先级为60的G1/0/1。
[H3C]display track all
Track ID: 1
State: Positive
Duration: 0 days 0 hours 1 minutes 35 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: admin test
Reaction: 1
Remote IP/URL: 114.114.114.114
Local IP: --
Interface: --
[H3C]display ip routing-table
Destinations : 17 Routes : 17
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 198.76.28.29 GE1/0/1
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
198.76.28.28/30 Direct 0 0 198.76.28.30 GE1/0/1
198.76.28.28/32 Direct 0 0 198.76.28.30 GE1/0/1
198.76.28.30/32 Direct 0 0 127.0.0.1 InLoop0
198.76.28.31/32 Direct 0 0 198.76.28.30 GE1/0/1
198.77.28.28/30 Direct 0 0 198.77.28.30 GE1/0/2
198.77.28.28/32 Direct 0 0 198.77.28.30 GE1/0/2
198.77.28.30/32 Direct 0 0 127.0.0.1 InLoop0
198.77.28.31/32 Direct 0 0 198.77.28.30 GE1/0/2
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
# 当G1/0/1侧运营商链路有问题时,设备上可以很快检测到,此时查看track项状态为Negative,查看路由发现走的是G1/0/2。
%Jan 24 15:38:01:238 2021 H3C NQA/6/NQA_ENTRY_PROBE_RESULT: -COntext=1; Reaction entry 1 of NQA entry admin-name admin operation-tag test: probe-fail.
[H3C]display track all
Track ID: 1
State: Negative
Duration: 0 days 0 hours 0 minutes 4 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: admin test
Reaction: 1
Remote IP/URL: 114.114.114.114
Local IP: --
Interface: --
[H3C]display ip routing-table
Destinations : 14 Routes : 14
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 80 0 198.77.28.29 GE1/0/2
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
198.76.28.30/32 Direct 1 0 0.0.0.0 NULL0
198.77.28.28/30 Direct 0 0 198.77.28.30 GE1/0/2
198.77.28.28/32 Direct 0 0 198.77.28.30 GE1/0/2
198.77.28.30/32 Direct 0 0 127.0.0.1 InLoop0
198.77.28.31/32 Direct 0 0 198.77.28.30 GE1/0/2
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
# 当G1/0/1运营商链路恢复时设备也能很快检测到并切换为主链路。
%Jan 24 15:38:16:834 2021 H3C NQA/6/NQA_ENTRY_PROBE_RESULT: -COntext=1; Reaction entry 1 of NQA entry admin-name admin operation-tag test: probe-pass.
[H3C]display track all
Track ID: 1
State: Positive
Duration: 0 days 0 hours 0 minutes 2 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: admin test
Reaction: 1
Remote IP/URL: 114.114.114.114
Local IP: --
Interface: --
[H3C]display ip routing-table
Destinations : 17 Routes : 17
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 198.76.28.29 GE1/0/1
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
198.76.28.28/30 Direct 0 0 198.76.28.30 GE1/0/1
198.76.28.28/32 Direct 0 0 198.76.28.30 GE1/0/1
198.76.28.30/32 Direct 0 0 127.0.0.1 InLoop0
198.76.28.31/32 Direct 0 0 198.76.28.30 GE1/0/1
198.77.28.28/30 Direct 0 0 198.77.28.30 GE1/0/2
198.77.28.28/32 Direct 0 0 198.77.28.30 GE1/0/2
198.77.28.30/32 Direct 0 0 127.0.0.1 InLoop0
198.77.28.31/32 Direct 0 0 198.77.28.30 GE1/0/2
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
暂无评论
- 配置双 WAN 口:
- 开启双 WAN 口功能:在路由器管理界面中,找到 “双 WAN 口设置” 或类似选项,开启双 WAN 口开关。
- 设置 WAN 口参数:分别对 WAN1 和 WAN2 进行设置。对于之前已配置好的 WAN1 口,保持其原有配置不变。对于 WAN2 口,根据新宽带的接入方式进行配置,如果是 PPPoE 拨号,输入对应的账号和密码;如果是静态 IP,则输入运营商提供的静态 IP 地址、子网掩码、网关和 DNS 服务器地址等信息。
- 配置负载均衡或策略路由:
- 负载均衡:如果两条宽带的带宽和使用场景类似,可以选择智能负载均衡模式。路由器会根据预设算法,如基于源 / 目的 IP、端口、会话数等,自动将内网设备的流量分配到两条宽带线路上。同时,建议开启会话保持功能,确保同一个设备或连接会话的流量尽可能走同一条 WAN 口,避免因切换线路导致连接中断。
- 策略路由:如果有特定的网络访问需求,例如让某些内网服务器的流量固定走某一条宽带,可以设置策略路由。根据源 IP、目的 IP、端口等条件,指定流量的出口线路。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论