H3C F5000-A 防火墙的三链路（IPv4/IPv6）负载均衡配置，推荐通过 Web 界面 分三步完成：先定义健康检测和物理链路，再将链路组织成链路组，最后配置智能选路策略。

核心配置步骤概览如下：

⚙️ 详细配置步骤

1️⃣ 基础网络与安全配置

在配置负载均衡前，需要先保证网络基础可达，并放行必要的流量。

• 接口配置 (网络 > 接口)：

  • 将连接三条外网的接口（如 GE1/0/1, GE1/0/2, GE1/0/3）加入 Untrust 安全域，并分别配置各自的 IPv4/IPv6 地址和网关。

  • 将连接内网的接口（如 GE1/0/4）加入 Trust 安全域，配置内网网关地址。

• 安全策略 (策略 > 安全策略)：

  • 创建策略 Trust-to-Untrust：源安全域 Trust，目的安全域 Untrust，动作 允许，放行内网访问外网的流量。

  • 创建策略 Local-to-Untrust：源安全域 Local，目的安全域 Untrust，动作 允许，放行设备自身（如健康检测）访问外网的流量。

• 双栈支持说明：该系列防火墙的链路负载均衡原生支持 IPv4 和 IPv6 协议栈，但 IPv4 和 IPv6 流量需要分别配置，且两者之间无法互相转换。

2️⃣ 配置健康检测 (对象 > 健康检测)

健康检测用于实时监控各运营商链路的连通性，确保负载均衡不会将流量导向故障链路。

• 点击 新建，配置一个 ICMP 类型的健康检测模板。关键参数包括：

  • 名称：如 icmp_health

  • 类型：选择 ICMP

  • 探测间隔（probe interval）：建议 5秒

  • 超时时间（probe timeout）：建议 2秒

  • 成功/失败次数（retry）：默认 3次

• 其他配置项（如填充数据长度）可保持默认。

3️⃣ 配置链路对象 (对象 > 负载均衡 > 链路)

链路对象是将物理接口和健康检测关联起来的逻辑实体。

• 为每一条外网线路创建一个链路对象，以 link1（电信）为例：

  • 名称：link-chinatelecom

  • 下一跳配置方式：选择 手动

  • 下一跳 IPv4 地址：填入电信网关地址，如 202.90.112.1

  • 下一跳 IPv6 地址：如 2001:db8:1::1

  • 出接口：选择对应的物理接口 GigabitEthernet1/0/1

  • 健康检测方法：选中之前创建的 icmp_health

  • VRF 继承：保持默认勾选

4️⃣ 配置链路组 (策略 > 负载均衡 > 出方向链路负载均衡 > 链路组)

链路组将多个物理链路组织成一个资源池，并为它们定义统一的调度算法。

• 点击 新建，创建一个新的链路组。

• 名称：如 link-group-isp

• 调度算法：选择 源IP地址哈希（source-ip-hash），确保特定源IP的用户（如财务人员）的流量始终从同一条链路转发，避免因出口IP变化导致业务中断。

• 可用条件：至少有一个，只要链路组内至少有一条链路可用，即认为组可用。

• 在 链路列表 中，将上一步创建的三个链路对象 link-chinatelecom、link-cnc、link-cmcc 加入。

5️⃣ 配置出方向负载均衡策略 (策略 > 负载均衡 > 出方向链路负载均衡 > 策略)

策略定义了流量特征（匹配规则）与动作（使用哪个链路组）的对应关系。

• 匹配规则类型：可以选择多种规则进行流量分类，实现精细化选路。

  • 基于ISP匹配：预先导入运营商地址库，使访问联通、电信、移动的流量分别从对应的链路转发，实现“电信走电信，联通走联通”。

  • 基于源/目的IP匹配：指定特定网段（如财务部、服务器区）的用户或特定目的IP的流量走指定链路。

  • 基于应用匹配：对特定应用（如视频、P2P下载）的流量进行分流。

• 配置步骤：

  1. 点击 新建。

  2. 名称：如 lb-policy

  3. 匹配类型：选择 匹配任意一条规则。

  4. 在 匹配规则 区域，点击 新建，按需添加 ISP、源/目的 IP 或应用匹配规则。

  5. 在 动作 区域，将 链路组 选择为之前创建的 link-group-isp。

6️⃣ 激活全局配置

• 确保负载均衡功能全局开启，路径通常在 策略 > 负载均衡 > 全局配置。另外，如果策略中使用了 ISP 匹配，需要提前导入并更新最新的 ISP 文件。

✅ 验证与运维

1. 功能验证

   • 使用 display loadbalance link verbose 命令，检查链路对象的状态是否为 Active（活跃）。

   • 查看防火墙的会话表 display session table ipv4，观察不同源IP或目的IP的流量是否从正确的链路出口转发。

2. 常规运维建议

   • 定期更新 ISP 地址库和特征库，确保选路的准确性。

   • 当某条物理链路需要维护时，可以先将对应的链路对象 shutdown，待流量自动切换后再进行操作，实现平滑维护。

您好，参考

32-出方向链路负载均衡典型配置举例-新华三集团-H3C

一、整体思路

• 3 条外网线路：Trust → 3 个 Untrust 子域（如 ISP1/ISP2/ISP3）
• 实现：出方向链路负载均衡（Outbound LB）
• 同时支持：IPv4 + IPv6 双栈负载
• 路由：由 LB 自动调度，不需要手动写 3 条默认路由

二、前置准备（Web 先建好）

1. 新建 3 个外网安全域

• 名称：ISP1、ISP2、ISP3
• 类型：Untrust

2. 3 个外网口配置（固定 IP）

IPv4

• 安全域：对应 ISP1/2/3
• 地址：静态 IP / 掩码
• 网关：对端网关

IPv6

• 启用 IPv6
• 静态 IPv6 地址 / 前缀
• 配置 IPv6 网关

3. 内网 Trust 口正常配置（DHCP / 静态均可）

三、关键：路由怎么写？（重点）

1. 只保留一条管理用默认路由（可选）
2. 外网转发全部交给 链路负载均衡 自动调度

四、Web 配置链路负载均衡（完整案例）

1. 进入链路负载均衡

2. 添加 3 条外网链路

• 链路名称：ISP1
• 安全域：ISP1(Untrust)
• 运营商：根据实际选电信 / 联通 / 移动
• 上行 / 下行带宽：填上
• 健康检测：ICMP 检测（网关 IP）
• 启用 IPv6 检测（填 IPv6 网关）

3. 新建负载均衡算法（多线叠加）

• 名称：LB_OUT
• 算法：带宽比例 / 加权轮询
• 权重：3 条线路按带宽填（如 10:10:10 均等负载）

4. 新建流量特征（匹配所有内网流量）

• 名称：ALL_LAN
• 源 IP：192.168.0.0/16（或你的内网段）
• 目的 IP：any
• 服务：IP

5. 新建调度策略（核心）

• 名称：LB_Policy
• 流量特征：ALL_LAN
• 出接口选：负载策略 → 选 LB_OUT
• 动作：转发

6. 开启全局负载均衡

• 启用链路负载均衡
• 启用 IPv6 负载均衡

五、IPv6 负载怎么配？（和 IPv4 一起）

• 外网口同时配 IPv4+IPv6
• 健康检测同时配 IPv4+IPv6 网关
• 调度策略自动识别 IPv4/IPv6 流
• 负载算法共用一套

六、安全策略必须放行（不然上不了网）

• 源安全域：Trust
• 目的安全域：ISP1、ISP2、ISP3
• 动作：允许
• 服务：IP

七、最终效果

• 内网 PC 自动走 3 条外网叠加负载
• 自动选健康线路
• 某条线路掉线自动切换
• IPv4 + IPv6 同时负载
• 不需要写多条默认路由

八、你要的 “Web 配置案例” 精简版（照着点）

1. 建 3 个 Untrust 子域
2. 3 个外网口配 IPv4+IPv6 固定 IP
3. 链路负载里添加 3 条链路
4. 建负载策略（加权轮询）
5. 建流量特征匹配内网
6. 建调度策略绑定负载
7. 安全策略放行 Trust → 3 个 ISP
8. 开启全局 LB