打开APP
userphoto
未登录

开通VIP,畅享免费电子书等14项超值服

开通VIP

首页

好书

留言交流

下载APP

联系客服
【避坑指南】解析防火墙智能选路......
userphoto 关注
智能选路简介

随着业务的不断发展,企业通常会在网络出口部署多条链路,以此提高出口链路的带宽和可靠性。这样做虽然在一定程度上达到了预期效果,但是由于出口设备在转发流量时一般是随机选择一条链路转发流量,并不考虑各条链路的实际带宽或链路的实时状态,因此在实际应用中会存在如下问题:

·如果各条链路的带宽不等,则很可能出现某些带宽大的链路空闲、某些带宽小的链路拥塞的情况,从而造成链路资源的浪费。

·由于不同ISP链路的传输质量和服务费用不同,有时用户希望优先保证业务的传输质量,有时希望优先使用费用较低的链路,而平分流量是无法实现这些需求的。

·当出口设备与目的设备之间的链路出现故障或者目的设备上的服务不可用时,如果流量被转发到相应的链路上,则将造成访问失败。

通过部署智能选路功能可以解决上述问题。智能选路是指到达目的网络有多条链路可选时,FW通过不同的智能选路方式,即根据链路带宽、权重、优先级或者自动探测到的链路质量,动态选择最优链路,并根据各链路实时状态动态调整分配结果,以此提高链路资源的利用率和用户体验。

01 智能选路的流程
02 配置案例


一、配置案例-流量根据链路带宽负载分担
1、配置思路
由于企业希望上网流量能够根据带宽比例进行分配,所以智能选路的方式设置为根据链路带宽负载分担。为了保证链路故障或过载时,FW可以使用其他链路转发流量,还需要配置健康检查功能和链路过载保护功能。
1.可选:配置健康检查功能,分别为ISP1和ISP2链路配置健康检查。
2.配置接口的IP地址、安全区域、网关地址、带宽和过载保护阈值,并在接口上应用健康检查。
3.配置全局选路策略。配置智能选路方式为根据链路带宽负载分担,并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。
4.配置基本的安全策略,允许企业内网用户访问外网资源。

二、配置过程
1可选:开启健康检查功能,并为ISP1和ISP2链路分别新建一个健康检查。假设ISP1网络的目的地址网段为3.3.10.0/24,ISP2网络的目的地址网段为9.9.20.0/24。
<FW> system-view
[FW] healthcheck enable
[FW] healthcheck name isp1_health
[FW-healthcheck-isp1_health] destination 3.3.10.10 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10001
[FW-healthcheck-isp1_health] destination 3.3.10.11 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10002
[FW-healthcheck-isp1_health] quit
[FW] healthcheck name isp2_health
[FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10003
[FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10004
[FW-healthcheck-isp2_health] quit

2、配置接口的IP地址和网关地址,配置接口所在链路的带宽和过载保护阈值,并应用对应的健康检查。
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1] gateway 1.1.1.254
[FW-GigabitEthernet1/0/1] bandwidth ingress 100000 threshold 95
[FW-GigabitEthernet1/0/1] bandwidth egress 100000 threshold 95
[FW-GigabitEthernet1/0/1] healthcheck isp1_health
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/7
[FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0
[FW-GigabitEthernet1/0/7] gateway 2.2.2.254
[FW-GigabitEthernet1/0/7] bandwidth ingress 50000 threshold 90
[FW-GigabitEthernet1/0/7] bandwidth egress 50000 threshold 90
[FW-GigabitEthernet1/0/7] healthcheck isp2_health
[FW-GigabitEthernet1/0/7] quit

3、配置全局选路策略,流量根据链路带宽负载分担
[FW] multi-interface
[FW-multi-inter] mode proportion-of-bandwidth
[FW-multi-inter] add interface GigabitEthernet 1/0/1
[FW-multi-inter] add interface GigabitEthernet 1/0/7
[FW-multi-inter] quit

4、将接口加入安全区域。
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] add interface GigabitEthernet 1/0/7
[FW-zone-untrust] quit
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报
打开APP,阅读全文并永久保存 查看更多类似文章
猜你喜欢
类似文章
【热】打开小程序,算一算2024你的财运
华为防火墙配置命令大全,带案例,相当详细的!
华为防火墙配置手册 华为USG防火墙NAT配置
三台华为防火墙配置ipsec,实现三地局域网互联
网络防火墙热备配置案例
H3C的802.1x与AAA 的配置视频教程
华为交换机配置,如何划分VLAN,VLAN之间互通?
更多类似文章 >>
生活服务
热点新闻
留言交流
回顶部
联系我们
分享 收藏 导长图 关注 下载文章
绑定账号成功
后续可登录账号畅享VIP特权!
如果VIP功能使用有故障,
可点击这里联系客服!

联系客服