• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F100-M-G3

2022-09-25提问
  • 0关注
  • 0收藏,1781浏览

问题描述:

防火墙是否可以基于运营商做不固定地址的负载均衡,比如有9wan口,8哥不固定ip地址,同一运营商,有案例提供一下,感谢

组网及组网描述:


最佳答案

粉丝:3人 关注:0人

参考看看:

V7防火墙多WAN链路负载均衡配置方法(命令行)

2 目录

1 V7防火墙多WAN链路负载均衡配置方法(命令行)... 1

3 配置需求及说明... 2

3.1 适用的产品系列... 2

3.2 配置需求及实现的效果... 2

4 组网图... 3

5 配置步骤... 3

5.1 创建NQA探测组用于链路探测... 3

5.2 基本组网配置... 3

5.2.1 外网接口配置... 3

5.2.2 安全域及安全策略配置... 4

5.2.3 路由设置... 5

5.3 配置链路组... 5

5.3.1 配置移动链路组... 5

5.3.2 配置联通链路组... 5

5.3.3 配置电信链路组... 5

5.3.4 配置财务链路组... 5

5.4 配置链路... 6

5.4.1 配置移动链路... 6

5.4.2 配置联通链路... 6

5.4.3 配置电信链路... 6

5.4.4 配置财务链路... 6

5.5 配置负载均衡规则匹配运营商路由表... 7

5.5.1 建立移动负载规则匹配移动数据... 7

5.5.2 建立联通负载规则匹配联通数据... 7

5.5.3 建立电信负载规则匹配电信数据... 7

5.5.4 建立财务负载规则匹配172.16.0.0财务网段... 7

5.6 配置负载均衡行为匹配各链路组... 7

5.6.1 建立移动负载均衡行为匹配移动链路组... 7

5.6.2 建立联通均衡行为匹配联通链路组... 7

5.6.3 建立电信负载均衡行为匹配电信链路组... 8

5.6.4 建立财务负载均衡行为匹配财务链路组... 8

5.7 配置负载均衡策略... 8

5.8 配置虚服务策略... 8

5.9 保存配置... 8

5.10 配置验证... 9

5.10.1 测试电信链路... 9

5.10.2 测试联通链路... 10

5.10.3 测试移动链路... 11

5.10.4 测试总结... 12

 

 

3 配置需求及说明

3.1  适用的产品系列

本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2F1000-X-G2F100-X-WiNetF1000-AKF10X0等。

3.2  配置需求及实现的效果

某公司为达到业务流量快速转发和链路冗余需求申请了三条不同运营商的外网线路,需要实现如下需求:

1)要求内网用户访问目的地址为移动链路数据从移动链路转发、访问目的地址为联通链路数据从联通链路转发、访问目的地址为电信链路数据从电信链路转发需求。

2)财务部门因为经常访问网银等支付平台,目前不希望出口IP地址经常变化。指定财务数据从电信转发并希望当电信流量负载到带宽的90%后,后面流量负载到联通链路上。

4 组网图

 

说明:

ISP

外网接口

公网地址/掩码

公网网关

移动

1/0/3

218.200.5.8/24

218.200.5.9

联通

1/0/2

14.204.0.2/24

14.204.0.1

电信

1/0/1

202.90.112.2/24

202.90.112.1

5 配置步骤

5.1  创建NQA探测组用于链路探测

探测组名称为nqa,描述为test。用于检测链路健康性。

<H3C>system   //进入系统视图

[H3C]nqa template icmp nqa   //探测组名称为nqa

[H3C-nqatplt-icmp-nqa]description test   //描述为test

[H3C-nqatplt-icmp-nqa]reaction trigger per-probe   //配置per-probe类型探测

[H3C-nqatplt-icmp-nqa]quit   //退出当前视图

5.2  基本组网配置

5.2.1  外网接口配置

配置电信链路接口地址,并开启保存上一跳功能。

[H3C]interface GigabitEthernet1/0/1   //进入1

[H3C-GigabitEthernet1/0/1]ip address 202.90.112.2 255.255.255.0   //配置地址 掩码

[H3C-GigabitEthernet1/0/1]ip last-hop hold   //开启保存上一跳

[H3C-GigabitEthernet1/0/1]nat outbound   //开启出方向nat转换

[H3C-GigabitEthernet1/0/1]quit   //退出当前视图

配置联通链路接口地址,并开启保存上一跳功能。

[H3C]interface GigabitEthernet1/0/2   //和上述说明完全一致

[H3C-GigabitEthernet1/0/2]ip address 14.204.0.2 255.255.255.0

[H3C-GigabitEthernet1/0/2]ip last-hop hold

[H3C-GigabitEthernet1/0/2]nat outbound

[H3C-GigabitEthernet1/0/2]quit

配置移动链路接口地址,并开启保存上一跳功能。

[H3C]interface GigabitEthernet1/0/3   //和上述说明完全一致

[H3C-GigabitEthernet1/0/3]ip address 218.200.5.8 255.255.255.0

[H3C-GigabitEthernet1/0/3]ip last-hop hold

[H3C-GigabitEthernet1/0/3]nat outbound

[H3C-GigabitEthernet1/0/3]quit

5.2.2  安全域及安全策略配置

将外网接口加入不信任区域

[H3C]security-zone name Untrust   //进入安全域Untrust  

[H3C-security-zone-Untrust]import interface Dialer1   //添加接口Dialer1

[H3C-security-zone-Untrust]import interface GigabitEthernet1/0/1   //添加接口GigabitEthernet1/0/1

[H3C-security-zone-Untrust]import interface GigabitEthernet1/0/2   //添加接口GigabitEthernet1/0/2

[H3C-security-zone-Untrust]import interface GigabitEthernet1/0/3   //添加接口GigabitEthernet1/0/3

[H3C-security-zone-Untrust]quit   //退出当前视图

创建对象策略pass,因为本章内容主要介绍负载均衡,域间策略采用最简配置请见谅。

[H3C]object-policy ip pass   //创建对象策略pass

[H3C-object-policy-ip-pass] rule 0 pass   //规则0允许

[H3C-object-policy-ip-pass]quit  //退出当前视图

创建anyany域的域间策略调用pass策略。

[H3C]zone-pair security source any destination any   //创建anyany域的域间策略

[H3C-zone-pair-security- Any-Any]object-policy apply ip pass   //调用pass策略

[H3C-zone-pair-security- Any-Any]quit  //退出当前视图

5.2.3  路由设置

设置路由防止在负载均衡配置前或者负载均衡失效后网络不通问题

[H3C]ip route-static 0.0.0.0 0 218.200.5.9 preference 80   //配置缺省静态路由,优先级为80 (优先级数值越高,优先级越低)

[H3C]ip route-static 0.0.0.0 0 14.204.0.1 preference 70   //配置缺省静态路由,优先级为70

[H3C]ip route-static 0.0.0.0 0 202.90.112.1   //配置缺省静态路由,优先级为60

5.3  配置链路组

设置链路失败的reschedule:重定向连接,即把连接重定向到链路组中其它可用的链路上。并使用transparent enable关闭链路组本身的NAT功能并绑定nqa探测组。

5.3.1  配置移动链路组

[H3C]loadbalance link-group cmcc   //新建移动链路组cmcc

[H3C-lb-lgroup-cmcc]fail-action reschedule   //配置链路故障处理方式为重定向连接

[H3C-lb-lgroup-cmcc]transparent enable   //关闭Nat功能

[H3C-lb-lgroup-cmcc]probe nqa   //调用健康性检测nqa

[H3C-lb-lgroup-cmcc]quit  //退出当前视图

5.3.2  配置联通链路组

[H3C]loadbalance link-group cnc   //和上述说明完全一致

[H3C-lb-lgroup-cnc]fail-action reschedule

[H3C-lb-lgroup-cnc]transparent enable

[H3C-lb-lgroup-cnc]probe nqa.

[H3C-lb-lgroup-cnc]quit

5.3.3  配置电信链路组

[H3C]loadbalance link-group china-isp   //和上述说明完全一致

[H3C-lb-lgroup-china-isp]fail-action reschedule

[H3C-lb-lgroup-china-isp]transparent enable

[H3C-lb-lgroup-china-isp]probe nqa

[H3C-lb-lgroup-china-isp]quit

5.3.4  配置财务链路组

[H3C]loadbalance link-group caiwu   //和上述说明完全一致

[H3C-lb-lgroup-caiwu]fail-action reschedule

[H3C-lb-lgroup-caiwu]transparent enable

[H3C-lb-lgroup-caiwu]probe nqa

[H3C-lb-lgroup-caiwu]quit

5.4  配置链路

router ip指链路的网关地址,将链路绑定链路组后该链路才能生效。

5.4.1  配置移动链路

[H3C]loadbalance link cmcc-link   //新建链路cmcc-link

[H3C-lb-link-cmcc-link]router ip 218.200.5.9   // router ip指链路的网关地址

[H3C-lb-link-cmcc-link]link-group cmcc   //绑定上一步创建的链路组

[H3C-lb-link-cmcc-link]probe nqa    //调用健康性检测nqa

[H3C-lb-link-cmcc-link]quit  //退出当前视图

5.4.2  配置联通链路

[H3C]loadbalance link cnc-link   //和上述说明一致

[H3C-lb-link-cnc-link]router ip 14.204.0.1

[H3C-lb-link-cnc-link]link-group cnc

[H3C-lb-link-cnc-link]probe nqa

[H3C-lb-link-cnc-link]quit

5.4.3  配置电信链路

将电信链路带宽调整为100M,设置带宽繁忙比当带宽利用率超过90%*100M=90M,新建session会负载到其他链路。

[H3C]loadbalance link chinanet-link   //新建链路chinanet-link

[H3C-lb-link-cnc-chinanet-link]router ip 202.90.112.1  // router ip指链路的网关地址

[H3C-lb-link-cnc-chinanet-link]link-group china-isp   //绑定上一步创建的链路组

[H3C-lb-link-cnc-chinanet-link]probe nqa    //调用健康性检测nqa

[H3C-lb-link-cnc-chinanet-link]max-bandwidth outbound 102400   //设置链路出方向最大带宽值

[H3C-lb-link-cnc-chinanet-link]bandwidth outbound busy-rate 90   //设置带宽繁忙比90%

[H3C-lb-link-cnc-chinanet-link]quit  //退出当前视图

5.4.4  配置财务链路

[H3C]loadbalance link link-caiwu    //新建链路

[H3C-lb-link- link-caiwu] router ip 202.90.112.1   // router ip指链路的网关地址

[H3C-lb-link- link-caiwu] link-group caiwu  //绑定上一步创建的链路组

[H3C-lb-link- link-caiwu]quit   //退出当前视图

5.5  配置负载均衡规则匹配运营商路由表

5.5.1  建立移动负载规则匹配移动数据

[H3C]loadbalance class cmcc type link-generic match-any   //建立移动负载类 类型match-any代表匹配任何一条即可

[H3C-lbc-link-generic-cmcc]match 1 isp cmcc   //匹配移动数据

[H3C-lbc-link-generic-cmcc]quit   //退出当前视图

5.5.2  建立联通负载规则匹配联通数据

[H3C]loadbalance class cnc type link-generic match-any   //与上述说明一致

[H3C-lbc-link-generic-cnc]match 1 isp cnc

[H3C-lbc-link-generic-cnc]quit

5.5.3  建立电信负载规则匹配电信数据

[H3C]loadbalance class chinanet type link-generic match-any   //与上述说明一致

[H3C-lbc-link-generic-chinanet]match 1 isp chinatel

[H3C-lbc-link-generic-chinanet]quit

5.5.4  建立财务负载规则匹配172.16.0.0财务网段

[H3C] loadbalance class caiwu type link-generic match-any   //建立财务负载规则 类型match-any代表匹配任何一条即可

[H3C-lbc-link-generic-caiwu]match 1 source ip address 172.16.0.0 24   //匹配172.16.0.0财务网段

[H3C-lbc-link-generic-caiwu]quit   //退出当前视图

5.6  配置负载均衡行为匹配各链路组

配置负载行为绑定各链路组,设置转发失败规则为继续匹配。

5.6.1  建立移动负载均衡行为匹配移动链路组

[H3C]loadbalance action cmcc type link-generic   //建立移动负载均衡行为,类型为链路类型

[H3C-lbc-link-generic- cmcc]link-group cmcc   //匹配移动链路组

[H3C-lbc-link-generic- cmcc]fallback-action continue   //配置负载均衡匹配失败后继续匹配下一条规则

[H3C-lbc-link-generic- cmcc]quit   //退出当前视图

5.6.2  建立联通均衡行为匹配联通链路组

[H3C]loadbalance action cnc type link-generic   //与上述说明一致

[H3C-lbc-link-generic-cnc]link-group cnc

[H3C-lbc-link-generic-cnc]fallback-action continue

[H3C-lbc-link-generic-cnc]quit

5.6.3  建立电信负载均衡行为匹配电信链路组

[H3C]loadbalance action chinanet type link-generic   //与上述说明一致

[H3C-lbc-link-generic-chinanet]link-group china-isp

[H3C-lbc-link-generic-chinanet]fallback-action continue

[H3C-lbc-link-generic-chinanet]quit

5.6.4  建立财务负载均衡行为匹配财务链路组

[H3C]loadbalance action caiwu type link-generic   //与上述说明一致

[H3C-lbc-link-generic-caiwu]link-group caiwu

[H3C-lbc-link-generic-caiwu]fallback-action continue

[H3C-lbc-link-generic-caiwu]quit

5.7  配置负载均衡策略

负载均衡策略严格按照配置顺序进行匹配,如果需要财务数据优先匹配需要将优先配置。

[H3C]loadbalance policy 1 type link-generic   //创建负载均衡策略

[H3C-lbp-link-generic-1]class caiwu action caiwu   //为负载均衡类caiwu指定负载均衡动作为caiwu

[H3C-lbp-link-generic-1]class chinanet action chinanet   //为负载均衡类指定负载均衡动作

[H3C-lbp-link-generic-1]class cmcc action cmcc   //为负载均衡类指定负载均衡动作

[H3C-lbp-link-generic-1]class cnc action cnc   //为负载均衡类指定负载均衡动作

5.8  配置虚服务策略

配置LB虚服务,虚服务地址为0.0.0.0/0表示内网访问所有的数据将会匹配虚服务进行转发,lb策略调用之前创建的策略1,如果无法匹配运营商的数据缺省从移动转发。

[H3C]virtual-server outbound type link-ip   //创建LB虚服务,名称outbound,类型ink-ip

[H3C-vs-link-ip-outbound]virtual ip address 0.0.0.0 0   //虚服务地址为0.0.0.0/0表示内网访问所有的数据将会匹配虚服务进行转发

[H3C-vs-link-ip-outbound]lb-policy 1   //lb策略调用之前创建的策略1

[H3C-vs-link-ip-outbound]default link-group cmcc  //指定缺省链路组为cmcc移动

[H3C-vs-link-ip-outbound]service enable   //开启虚服务

[H3C-vs-link-ip-outbound]quit   //退出当前视图

5.9  保存配置

[H3C]quit   //退出当前视图

<H3C>save force   //保存

5.10  配置验证

5.10.1  测试电信链路

在内网找一台地址为192.168.0.2的电脑,访问外网一个地址看是从哪个接口出?用来

判断ISP路由是否配置正确?将外网模拟设备的IP地址修改为1.4.1.1进行测试。

设备内置的电信路由表:

Teacert结果:

防火墙会话:

 

查看数据是否从对应链路组转发。

 

5.10.2  测试联通链路

在内网找一台地址为192.168.0.2的电脑,访问外网一个地址看是从哪个接口出?用来

判断ISP路由是否配置正确?将外网模拟设备的IP地址修改为27.50.128.1进行测试。

设备内置的联通路由表:

Teacert结果:

防火墙会话:

.

5.10.3  测试移动链路

在内网找一台地址为192.168.0.2的电脑,访问外网一个地址看是从哪个接口出?用来

判断ISP路由是否配置正确?将外网模拟设备的IP地址修改为43.251.244.1进行测试。

设备内置的移动路由表:

Teacert结果:

防火墙会话:

 

5.10.4  测试总结

测试结果符合需求预期,可以达到数据的准确转发。

暂无评论

1 个回答
粉丝:227人 关注:8人

链路都是一个运营商可以做等价路由来实现负载

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明