问
防火墙链路聚合
2天前提问
- 0关注
- 1收藏,116浏览
最佳答案
zhiliao_Gixe
三段
可行。配置链路聚合承载监控业务,并配置Track联动NQA监测ERP专线,实现故障切换。
配置步骤:
1. 创建聚合组并加入物理接口:
interface Bridge-Aggregation 1
port link-type trunk
port trunk permit vlan all
quit
interface GigabitEthernet 1/0/1
port link-aggregation group 1
quit
interface GigabitEthernet 1/0/2
port link-aggregation group 1
quit
2. 配置NQA监测ERP专线:
nqa entry admin test
type icmp-echo
destination ip 192.168.1.1 //ERP对端地址
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
quit
nqa schedule admin test start-time now lifetime forever
3. 配置Track联动:
track 1 nqa entry admin test reaction 1
4. 配置策略路由实现备份:
policy-based-route ERP_backup permit node 10
if-match acl 3000 //匹配ERP业务的ACL
apply next-hop 192.168.2.1 track 1 //主下一跳为ERP专线网关,关联Track
apply next-hop 10.1.1.1 //备下一跳为聚合链路网关
quit
ip local policy-based-route ERP_backup //在接口或全局应用策略路由
关键点:
确保聚合链路对端设备也配置了静态LACP或手工聚合模式。
策略路由的ACL需精确匹配ERP业务流。
配置变更前请备份。
配置步骤:
1. 创建聚合组并加入物理接口:
interface Bridge-Aggregation 1
port link-type trunk
port trunk permit vlan all
quit
interface GigabitEthernet 1/0/1
port link-aggregation group 1
quit
interface GigabitEthernet 1/0/2
port link-aggregation group 1
quit
2. 配置NQA监测ERP专线:
nqa entry admin test
type icmp-echo
destination ip 192.168.1.1 //ERP对端地址
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
quit
nqa schedule admin test start-time now lifetime forever
3. 配置Track联动:
track 1 nqa entry admin test reaction 1
4. 配置策略路由实现备份:
policy-based-route ERP_backup permit node 10
if-match acl 3000 //匹配ERP业务的ACL
apply next-hop 192.168.2.1 track 1 //主下一跳为ERP专线网关,关联Track
apply next-hop 10.1.1.1 //备下一跳为聚合链路网关
quit
ip local policy-based-route ERP_backup //在接口或全局应用策略路由
关键点:
确保聚合链路对端设备也配置了静态LACP或手工聚合模式。
策略路由的ACL需精确匹配ERP业务流。
配置变更前请备份。
神烦烦烦烦烦烦烦烦烦烦卍
七段
宽带叠加不了,
你一辆车总不能同时在两条路上跑吧,反正华三的设备做不到宽带叠加
神烦烦烦烦烦烦烦烦烦烦卍
发表时间:2天前
更多>>
带宽不能叠加吗,为啥呢
zhiliao_yy6OhE
发表时间:2天前
你一辆车总不能同时在两条路上跑吧,反正华三的设备做不到宽带叠加
神烦烦烦烦烦烦烦烦烦烦卍
发表时间:2天前
通过链路聚合将两条千兆专线捆绑,可以提升监控业务的带宽并实现链路冗余;再配合主备路由或NQA/BFD检测,就可以在ERP专线故障时,让业务自动切换到聚合链路上。
这个方案的核心配置思路是:“一聚,二切”。
一聚(两条千兆线):把两个物理端口聚合成一个逻辑端口,带宽叠加、互为备份。
二切(五百兆备线):让ERP流量默认走自己的专线,并通过链路检测技术,在该专线故障时自动将路由切换到聚合链路上。
下面是具体的配置步骤,你可以参考。
1. 配置两条千兆专线的链路聚合
首先,在防火墙上创建一个三层聚合接口,并把连接两条千兆专线的物理口加入其中。
创建聚合接口:进入系统视图,创建一个三层聚合接口(例如聚合组1)。
[H3C] interface Route-Aggregation 1 [H3C-Route-Aggregation1] ip address 100.1.1.2 24 # 配置聚合口的IP地址 [H3C-Route-Aggregation1] quit<H3C> system-view将物理端口加入聚合组:把连接两条千兆专线的物理端口(比如GigabitEthernet1/0/1和G1/0/2)加入到刚才创建的聚合组1中。注意:请根据实际情况替换端口编号。
[H3C-GigabitEthernet1/0/1] port link-mode route [H3C-GigabitEthernet1/0/1] port link-aggregation group 1 [H3C-GigabitEthernet1/0/1] quit [H3C] interface GigabitEthernet 1/0/2 [H3C-GigabitEthernet1/0/2] port link-mode route [H3C-GigabitEthernet1/0/2] port link-aggregation group 1 [H3C-GigabitEthernet1/0/2] quit[H3C] interface GigabitEthernet 1/0/1
配置完成后,可以用 display link-aggregation summary 命令查看聚合组的状态,确认两个成员端口都是“S” (Selected) 状态,才表示聚合成功。
2. 配置主备路由及链路检测
这部分实现ERP流量默认走自己的专线(500M),并在它故障时切换到聚合链路(2G)。
配置默认路由:配置两条默认路由。第一条优先级高,指向ERP专线;第二条优先级低,指向聚合链路。正常情况下,所有流量(包括ERP)都走ERP专线。
[H3C] ip route-static 0.0.0.0 0 200.1.1.1 # 备路由:指向聚合接口的下一跳(假设对端IP是100.1.1.1),设置优先级比主路由低(例如80) [H3C] ip route-static 0.0.0.0 0 100.1.1.1 preference 80# 主路由:指向ERP专线的下一跳(假设对端IP是200.1.1.1),优先级默认60配置NQA或BFD进行链路检测:仅配置静态路由无法快速感知链路故障。需要配置NQA(网络质量分析)或BFD(双向转发检测)来持续检测主链路(ERP专线)的健康状况,一旦检测到故障,就自动让主路由失效,触发备份路由。
配置NQA测试:对ERP专线的下一跳IP地址(200.1.1.1)进行ICMP探测。
[H3C-nqa-admin-erp_test] type icmp-echo [H3C-nqa-admin-erp_test-icmp-echo] destination ip 200.1.1.1 [H3C-nqa-admin-erp_test-icmp-echo] frequency 3000 # 每3秒探测一次 [H3C-nqa-admin-erp_test-icmp-echo] probe count 2 # 每次探测发送2个包 [H3C-nqa-admin-erp_test-icmp-echo] quit [H3C] nqa schedule admin erp_test start-time now lifetime forever # 启动测试[H3C] nqa entry admin erp_test # 创建NQA测试组关联NQA与静态路由:将之前配置的主路由和这个NQA测试关联起来。当NQA检测到ERP专线不通时,这条路由会自动失效。
[H3C] ip route-static 0.0.0.0 0 200.1.1.1 track nqa admin erp_test
方案完全可行。在 H3C F1000 上可通过 链路聚合(Bridge-Aggregation) 实现两条千兆监控专线带宽叠加,再通过 策略路由(PBR)+ Track 联动 实现 ERP 专线故障时自动切换到聚合链路。
一、方案架构与前提
1. 接口规划(示例)
- 监控聚合链路(主):
- GE1/0/1、GE1/0/2 → 加入 Bridge-Aggregation 1(BAGG1)
- 逻辑带宽:2G
- 网关:
10.0.1.1/30
- ERP 专线(主):
- GE1/0/3(500M)
- 网关:
10.0.2.1/30
- 内网接口:
- GE1/0/4 → Trust 域,内网网段
192.168.1.0/24
- GE1/0/4 → Trust 域,内网网段
2. 核心思路
- 监控流量:默认走 BAGG1(2G)
- ERP 流量:默认走 GE1/0/3(500M)
- 冗余切换:
- 用 Track 检测 GE1/0/3 物理 / 连通性
- 当 GE1/0/3 故障,ERP 流量自动切到 BAGG1
二、配置步骤(命令行,V7 版本)
1. 配置链路聚合(BAGG1)
plaintext
# 进入系统视图
system-view
# 创建聚合接口
interface Bridge-Aggregation 1
port link-type route # 三层模式
ip address 10.0.1.2 255.255.255.252 # 监控聚合链路IP
quit
# 将两个千兆口加入聚合组
interface GigabitEthernet 1/0/1
port link-aggregation group 1
quit
interface GigabitEthernet 1/0/2
port link-aggregation group 1
quit
# 配置负载分担(可选,推荐)
link-aggregation global load-sharing mode source-ip destination-ip
2. 配置 ERP 专线接口
plaintext
interface GigabitEthernet 1/0/3
port link-type route
ip address 10.0.2.2 255.255.255.252 # ERP专线IP
quit
3. 配置内网接口
plaintext
interface GigabitEthernet 1/0/4
port link-type route
ip address 192.168.1.1 255.255.255.0
quit
4. 配置安全域与策略(必做)
plaintext
# 加入安全域
security-zone name Trust
import interface GigabitEthernet 1/0/4
quit
security-zone name Untrust
import interface Bridge-Aggregation 1
import interface GigabitEthernet 1/0/3
quit
# 放通 Trust → Untrust 流量
security-policy ip
rule name Trust-to-Untrust
source-zone Trust
destination-zone Untrust
action pass
quit
quit
5. 配置 Track 检测(监控 ERP 专线状态)
plaintext
# Track 1:检测 GE1/0/3 物理状态
track 1 interface GigabitEthernet 1/0/3 physical
# Track 2:检测到 ERP 网关的连通性(推荐)
track 2 nqa entry nqa_erp 1
type icmp-echo
destination ip 10.0.2.1 # ERP网关
source ip 10.0.2.2
frequency 5
probe-count 3
quit
nqa schedule nqa_erp 1 start-time now lifetime forever
6. 配置策略路由(PBR)实现分流与切换
plaintext
# 1) 定义ACL匹配业务流量
acl advanced 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination any # 所有内网
quit
# 2) 策略路由:ERP优先走GE1/0/3,失败切BAGG1
policy-based-route ERP node 10
if-match acl 3000
apply next-hop 10.0.2.1 track 2 # 主用ERP网关,关联Track
apply default-next-hop 10.0.1.1 # 备用:监控聚合网关
quit
# 3) 策略路由:监控流量默认走BAGG1
policy-based-route MONITOR node 10
if-match acl 3000
apply next-hop 10.0.1.1
quit
# 4) 在内网口应用PBR(先ERP,后监控)
interface GigabitEthernet 1/0/4
ip policy-based-route ERP
ip policy-based-route MONITOR
quit
7. 配置默认路由(兜底)
plaintext
ip route-static 0.0.0.0 0.0.0.0 10.0.1.1 preference 60 # 监控聚合为默认
ip route-static 0.0.0.0 0.0.0.0 10.0.2.1 preference 70 track 2 # ERP为次选
三、验证与排查
1. 查看聚合状态
plaintext
display link-aggregation verbose Bridge-Aggregation 1
# 确认 Selected 端口为 GE1/0/1、GE1/0/2
2. 查看 Track 状态
plaintext
display track all
# 确认 Track 1/2 为 Positive(正常)
3. 查看策略路由应用
plaintext
display ip policy-based-route applied
4. 测试切换
- 断开 GE1/0/3 或 shutdown 接口
- 查看
display ip routing-table,ERP 流量应切换到10.0.1.1
四、关键注意事项
- 链路聚合要求:
- 两个物理口必须同速率、同双工、同模式
- 对端设备(如运营商路由器)也需配置 LACP 或静态聚合
- 带宽限制:
- 聚合后逻辑带宽为 2G,但受防火墙整机转发能力限制
- 业务隔离:
- 建议用 ACL / 安全策略 限制监控与 ERP 流量互访
- NAT 配置:
- 若需上网,在 Untrust 域配置 出方向 NAT
五、Web 界面配置(可选)
- 链路聚合:
- 网络 → 接口 → 聚合接口 → 新建 Bridge-Aggregation
- 添加 GE1/0/1、GE1/0/2,配置 IP
- 策略路由:
- 网络 → 路由 → 策略路由 → 新建
- 匹配源地址,设置主 / 备下一跳并关联 Track
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明