在三层聚合口上跑ipsec，流量会因为逐流而只跑在其中一个物理端口上吗？

1. ​​华三层聚合口的负载均衡机制​​

华三聚合口的负载均衡策略默认为 ​​逐流（per-flow）​​ 模式：

• ​​逐流模式特点​​：相同五元组（源IP、目的IP、源端口、目的端口、协议）的流量 ​​固定走同一条物理链路​​。
• ​​IPsec 流量特征​​：
  • ​​ESP/AH 协议无传输层端口​​：IPsec 加密后的流量使用 ​​ESP（50）或 AH（51）协议​​，无四层端口号。
  • ​​负载均衡键值变化​​：
    此时聚合口负载均衡只能基于 ​​三元组（源IP、目的IP、协议号）​​ 选择链路。

2. ​​IPsec 流量在聚合口的实际行为​​

📌 ​​结论​​：

• ​​单隧道场景下​​：所有 IPsec 流量（无论内层多少条数据流）必然固定在 ​​一个物理成员口​​ 传输。
• ​​多隧道场景下​​：不同对端IP的流量可能分散到多个物理口。

3. ​​解决方案：强制流量分散​​

方法一：启用更细粒度负载均衡（推荐）

​​作用​​：将内层原始IP（加密前）作为负载均衡键值，使不同内网主机的流量分散到不同物理链路。

方法二：配置多个同源IP的IPsec隧道

• 通过 ​​Loopback 子接口​​ 或 ​​多物理接口​​ 创建多个相同配置的 IPsec 隧道：
  interface LoopBack1 ip address 10.1.1.1 255.255.255.255 sub # 子接口1 ! interface LoopBack1.2 ip address 10.1.1.2 255.255.255.255 # 子接口2 ! ipsec profile to-ISP1 local-address 10.1.1.1 # 隧道1本端地址 ! ipsec profile to-ISP2 local-address 10.1.1.2 # 隧道2本端地址

  ✅ 不同隧道使用不同本端IP → 三元组变化 → 流量分散。

方法三：开启协议端口随机化（针对NAT场景）

• 若IPsec流量经过NAT，可强制ESP头部随机化SPI值模拟"端口"效果：
  ipsec transform-set TS1 esp authentication-algorithm sha256 esp encryption-algorithm aes-256 random spi enable # 开启SPI随机化（部分高端型号支持）

4. ​​验证命令​​

⚠️ ​​生产环境建议​​

1. ​​硬件兼容性​​

   • 老型号（如 S5800/S7500E）仅支持三元组负载均衡 → 单隧道流量不分散。
   • 新型号（如 S9820/S9850）支持 inner-ip 深度散列 → 优先升级设备。

2. ​​规避单条链路超限​​
   若物理口为 ​​40G​​ 而聚合口需承载 ​​100G IPsec 流量​​：

   link-aggregation min-links 3 # 至少3条活跃链路才启用聚合

3. ​​性能冲击测试​​
   单物理口跑满IPsec流量时，检查加密卡性能是否达标：

   display ipsec statistics slot 1 # 查看加密卡丢包率

📌 ​​终极方案​​：若带宽要求极高，改用 ​​集群多活网关​​（如华三防火墙 F5000-AI 集群）代替聚合口方案。

通过上述配置可确保 IPsec 流量在多条物理链路上有效分散，最大化利用聚合带宽！