F1000-AK135多路网络通过防火墙会损失速度吗？

它又不会叠加

你要么负载均衡

要么单走一条线路

不会叠加，可以做基于出方向运营商的链路负载

参考文档h3c.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904200

1. 电信150M与移动300M同时接入防火墙后，总带宽理论上仍为450M，但实际聚合带宽无法直接叠加至单一会话。防火墙本身会引入少量处理开销，通常性能损耗在5%以内（具体取决于防火墙型号及配置），若设备性能充足，不影响线速转发。多条线路可通过策略路由或负载均衡实现出口流量分担，但单条会话速度不会超过任一链路的上限（如最大300M）。

2. 多路网络接入防火墙设置建议如下：
- 将电信和移动线路分别接入防火墙不同WAN口；
- 配置双出口策略路由：主路由优先走移动300M线路，备用线路为电信150M；
- 可结合源地址策略路由，使内网部分网段优先使用移动线路，其余流量走电信线路；
- 若需实现链路负载均衡，可配置基于会话或应用的负载分担策略；
- 建议启用RBM（路由备份与监控）双主模式，提升链路可靠性，具体配置可参照产品文档中“双主模式”说明。

确保防火墙具备足够吞吐能力以支持450M线速转发。

一、核心结论：多线路叠加后吞吐量受设备性能、协议特性双重影响，实际可达400-430Mbps（约 90% 带宽利用率），损耗主要来自 NAT 转换和流量调度机制。
1. 硬件性能支撑叠加需求
F1000-AK135 的三层吞吐量为 5Gbps，完全覆盖电信 150M + 移动 300M 的总带宽（450M）。但需注意：
NAT 转换损耗：若开启源 NAT（如动态 IP 地址转换），吞吐量可能降至1Gbps，仍高于 450M 需求。
深度安全功能损耗：若开启 IPS（入侵防御）、AV（杀毒）等深度检测，吞吐量可能降至500-800Mbps，需通过display cpu-usage命令监控安全引擎负载。
2. 协议特性限制叠加效率
跨运营商链路无法聚合：电信、移动属于不同 ISP，无法通过链路聚合（LACP）实现物理带宽叠加，需通过策略路由或动态负载均衡实现逻辑叠加。
单线程流量无法分流：普通测速工具（如 Speedtest）通常为单线程，防火墙会将流量固定分配至某条链路，导致只能跑满单条带宽（300M）。需通过多线程工具（如 iperf3 -P 10）模拟多会话场景，才能实现带宽叠加。
3. 典型损耗场景及优化空间
场景 损耗比例 优化后效果
仅 NAT 转换 5-10% 420-430Mbps
NAT + 基础安全策略 10-15% 380-400Mbps
NAT + 深度检测（IPS/AV） 20-30% 315-360Mbps
二、多线路配置方案：基于策略路由的负载均衡（推荐）
1. 硬件连接与接口配置
# 配置电信接口（假设为GigabitEthernet1/0/1）
interface GigabitEthernet1/0/1
port link-mode route
ip address 202.96.128.1 24 # 电信公网IP
# 配置移动接口（假设为GigabitEthernet1/0/2）
interface GigabitEthernet1/0/2
port link-mode route
ip address 221.179.3.1 24 # 移动公网IP
2. 创建策略路由实现流量分流
# 定义电信流量ACL（源IP为192.168.1.0/24）
acl advanced 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255
# 定义移动流量ACL（源IP为192.168.2.0/24）
acl advanced 3001
rule 0 permit ip source 192.168.2.0 0.0.0.255
# 创建策略节点并关联ACL
policy-based-route PBR permit node 10
if-match acl 3000
apply output-interface GigabitEthernet1/0/1
policy-based-route PBR permit node 20
if-match acl 3001
apply output-interface GigabitEthernet1/0/2
# 应用策略到内网接口
interface GigabitEthernet1/0/0 # 内网接口
ip policy-based-route PBR
3. 配置动态负载均衡（可选）
# 启用链路状态检测
link-health check enable
# 创建负载均衡组
load-balance group LB_GROUP
mode source-ip # 按源IP哈希分流
member interface GigabitEthernet1/0/1 weight 1 # 电信链路权重1
member interface GigabitEthernet1/0/2 weight 2 # 移动链路权重2（带宽更高）
# 关联负载均衡组到策略路由
policy-based-route PBR permit node 30
if-match any
apply load-balance group LB_GROUP
三、性能优化关键点：减少分流延迟与资源竞争
1. 会话保持机制调整
# 关闭会话保持（提升分流均衡性）
session-policy global
undo session-persist enable
# 或设置会话老化时间（默认3600秒，可缩短至60秒）
session aging-time 60
2. 硬件加速功能启用
# 检查硬件加密卡状态（若支持）
display crypto-engine status
# 启用硬件加速（提升IPSec/NAT性能）
crypto-engine enable
3. MTU 与 MSS 参数优化
# 配置隧道MTU（避免分片）
interface GigabitEthernet1/0/1
mtu 1400
tcp adjust-mss 1360
# 验证MTU配置
ping -f -l 1400 202.96.128.2 # 对端公网IP
四、故障排查步骤：定位分流异常与性能瓶颈
1. 流量统计验证
# 查看接口实时流量
display interface GigabitEthernet1/0/1
display interface GigabitEthernet1/0/2
# 查看策略路由匹配计数
display policy-based-route PBR statistics
2. 会话分布分析
# 查看会话表分布（是否均匀）
display session table
# 按源IP统计会话数
display session table source-ip
3. 资源占用监控
# 查看CPU利用率（重点关注security进程）
display cpu-usage
# 查看内存占用
display memory-usage
五、总结
多线路叠加可行性：F1000-AK135 可稳定支撑 450M 带宽叠加，建议通过策略路由 + 动态负载均衡实现。
损耗控制：优先关闭非必要安全功能（如 IPS/AV），启用硬件加速，可将损耗控制在 10% 以内。
测试建议：使用 iperf3 -P 10 进行多线程测速，验证分流效果；通过display policy-based-route statistics实时监控策略命中情况。