可以

Web方式：基于应用识别的出方向链路负载均衡典型配置

出口 1：移动专线（假设 GE1/0/1，带宽 100M）
出口 2：移动普通宽带（假设 GE1/0/2，带宽 50M）
目标：按带宽权重 + 基于流量（会话）分担，专线权重更高；任意链路断了自动切到另一条。
1. 先把两个外网口配置好（网络→接口）
GE1/0/1（专线）
安全域：Untrust
类型：静态 IP/PPPoE（按实际）
示例 IP：112.xx.xx.1/24
带宽：设为 100Mbps（用于权重计算）


GE1/0/2（普通宽带）
安全域：Untrust
类型：静态 IP/PPPoE
示例 IP：223.xx.xx.2/24
带宽：设为 50Mbps


2. 新建链路组（策略→负载均衡→链路负载均衡→链路组）
链路组名：link-mobile
负载均衡模式：带宽加权（推荐，即按流量负载）
健康检查：开启（ping 网关，默认即可）
添加成员：
GE1/0/1，权重 100（对应 100M）
GE1/0/2，权重 50（对应 50M）


权重比 2:1，专线承载约 2/3 流量，宽带承载约 1/3，实现 “基于流量” 分担。
3. 新建负载均衡策略（策略→负载均衡→链路负载均衡→策略）
3.1 新建流量特征（匹配内网所有流量）
流量特征名：class-all
源地址：内网段（如 192.168.0.0/24）
目的地址：任意
服务：任意


3.2 新建负载均衡策略
策略名：lb-mobile
流量特征：class-all
负载均衡组：link-mobile
调度算法：带宽加权（推荐）
故障转移：开启（链路 down 自动切换）


4. 放行安全策略（必须，否则流量被阻断）
进入 策略→安全策略→新建：
源域：Trust
目的域：Untrust
源地址：内网段（如 192.168.0.0/24）
目的地址：任意
服务：任意
动作：允许
启用：√
5. 配置 NAT（多出口必须配置）
进入 策略→NAT→源 NAT→新建：
名称：nat-mobile
源地址：内网段（如 192.168.0.0/24）
出接口：链路负载均衡组 → 选择 link-mobile
动作：源 NAT
转换后地址：出接口 IP


6. 保存并验证
右上角 保存配置。
验证命令（Web→工具→命令行）：
bash
运行
display loadbalance link-group summary
display nat session verbose
看两个接口都有会话，流量按 2:1 分布。
拔掉其中一根线，看流量是否自动切到另一根。
关键说明
“基于流量负载均衡” 在 F1000 上就是 带宽加权 + 会话分担，不是按包分担（会乱序）。
同运营商双出口，不要做 ISP 选路，直接用带宽加权更简单。
专线权重建议设为带宽比例（如 100:50），保证专线承载更多流量。

针对F1000防火墙和两条带宽可能不均等的移动线路，要实现基于流量的负载均衡，核心方案是配置 “出方向链路负载均衡” ，并重点调整算法和带宽权重。以下是Web界面的关键配置步骤：

• 关键准备工作（必要前提）：确保两条移动线路接口已配置IP并划入Untrust安全域，同时设置好Trust到Untrust的安全策略。

• 开启并配置健康检测（保活机制）：

  • 操作路径：网络> 链路负载均衡 > 全局配置，勾选“启用出站链路负载均衡”。

  • 核心原理：通过检测机制（如ping外网固定IP）实时监控链路，实现故障自动快速切换。

• 配置链路与链路组（核心调度逻辑）：

  • 操作路径：策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡。

  • 流量比例规则：进入“链路组”，将两条链路添加，调度算法选 “按流量比例分担”。假设专线100M，宽带50M，则分别设置2000与1000，或直接设2:1，实现2:1流量分配。务必准确填入运营商实际“下行带宽”。

  • 配置DNS/DNAT功能（可选）：如果在配置负载均衡后遇到部分网站或服务访问异常，可以检查一下“DNS-DNAT”功能，它能帮助DNS解析请求从对应的链路正确返回。

 注意事项：确保接口选对、NAT策略配好；若分配不均或网页卡顿，请检查配置版本及“DNS-DNAT”功能。

一、组网与规划

• 内网：Trust 域（如 192.168.0.0/24）
• 出口 1（移动专线）：GE1/0/1，Untrust，IP：A.A.A.A/掩码，网关：G1，带宽：100M
• 出口 2（移动普通宽带）：GE1/0/2，Untrust，IP：B.B.B.B/掩码，网关：G2，带宽：50M
• 负载均衡算法：带宽（bandwidth）—— 按接口实际带宽比例分担流量H3C

二、Web 配置步骤（全程界面化）

1. 接口配置（网络→接口）

• 安全域：Untrust
• 连接类型：静态
• IP：A.A.A.A/ 掩码
• 网关：G1（下一跳）
• 健康检查：开启（ICMP，探测网关 G1）
  

• 安全域：Untrust
• 连接类型：静态
• IP：B.B.B.B/ 掩码
• 网关：G2
• 健康检查：开启（ICMP，探测网关 G2）
  

2. 配置 “链路”（对象→负载均衡→链路）

• 名称：link-mobile-pri
• 出接口：GE1/0/1
• 下一跳：G1
• 带宽：100（Mbps）
• 健康检查：启用，ICMP，目的：G1，间隔 1000ms
  

• 名称：link-mobile-sec
• 出接口：GE1/0/2
• 下一跳：G2
• 带宽：50（Mbps）
• 健康检查：启用，ICMP，目的：G2
  

3. 配置 “链路组”（对象→负载均衡→链路组）

• 名称：lg-mobile
• 调度算法：带宽（bandwidth）
• 成员链路：
  • link-mobile-pri，权重 = 100
  • link-mobile-sec，权重 = 50
• 健康检查：组内链路故障自动剔除
  

4. 配置 NAT 策略（策略→NAT→出方向 NAT）

• 源：内网网段（192.168.0.0/24）
• 目的：any
• 出接口：GE1/0/1
• 动作：源 NAT → 接口 IP

• 源：内网网段
• 目的：any
• 出接口：GE1/0/2
• 动作：源 NAT → 接口 IP
  

5. 配置负载均衡策略（策略→负载均衡→出方向负载均衡）

• 名称：policy-mobile
• 源安全域：Trust
• 目的安全域：Untrust
• 源 IP：内网网段（192.168.0.0/24）
• 目的 IP：any
• 服务：any
• 负载均衡组：lg-mobile
• 优先级：默认（高于普通路由）
  

6. 放行安全策略（策略→安全策略）

• 名称：Trust-to-Untrust
• 源域：Trust
• 目的域：Untrust
• 动作：允许
• 源 IP：内网网段
• 目的 IP：any
• 服务：any

7. 删除默认路由，避免冲突（网络→路由→静态路由）

• 不要配置 0.0.0.0/0 静态路由，负载均衡策略会优先接管所有外网流量。
• 如果已有默认路由，必须删除，否则负载均衡不生效。

三、效果说明

• 正常情况：专线（100M）承担约 2/3 流量，普通宽带（50M）承担约 1/3 流量，完全基于带宽比例分担H3C。
• 专线故障：健康检查失败，自动把所有流量切到普通宽带；恢复后自动切回。
• 普通宽带故障：流量全部走专线。

四、常见问题排查

1. 负载均衡不生效：
   • 检查是否有 默认静态路由（必须删除）
   • 检查 NAT 是否绑定到正确出接口
   • 检查安全策略是否放行 Trust→Untrust
2. 流量只走一条线：
   • 链路组算法是否为 带宽（bandwidth）
   • 两条链路的健康检查是否都正常
3. 丢包 / 卡顿：
   • 检查接口 CRC / 错包（网络→接口→接口统计）
   • 适当调大 TCP MSS（接口→高级→TCP MSS，建议 1400）