如果你有多条外联线路,可以利用ScreenOS 5.1.0的ECMP(Equal Cost Multipath)新功能,实现负载均衡。
ECMP可以同时激活2-4条等代价(Preference和Metric都相等)路由,如果是到达同一目的地址,可以实现轮循方式的负载均衡;如果是到达不同的目的地址,可以达到增加有效带宽的目的。
举一个例子说明如何配置ECMP。假如我们有两条广域网线路分别连接到IPS-1和ISP-2,防火墙NS-204的E2接口连接ISP-1(网关是200.1.1.254),接口E3连接ISP-2(网关是201.1.1.254),接口E1连接内网。我们要实现通过防火墙使内网计算机上网.
set int e1 zone trust
set int e1 ip 10.1.1.1/24
set int e1 nat
set int e2 zone untrust
set int e2 ip 200.1.1.1/24
set int e3 zone untrust
set int e3 ip 201.1.1.1/24
set vr trust-vr max-ecmp-routes 2
set vr trust-vr route 0.0.0.0/0 int e2 gateway 200.1.1.254
set vr trust-vr route 0.0.0.0/0 int e3 gateway 201.1.1.254
set policy from trust to untrust any any any permit log
在内网一台机器上连续执行ping操作,从日志上可以看到外出的信息流交替地被引导到两条外联链路上,从而实现轮循方式的负载均衡。
要注意的是这两条等代价路由必须有属于同一zone的出口。
ECMP可以同时激活2-4条等代价(Preference和Metric都相等)路由,如果是到达同一目的地址,可以实现轮循方式的负载均衡;如果是到达不同的目的地址,可以达到增加有效带宽的目的。
举一个例子说明如何配置ECMP。假如我们有两条广域网线路分别连接到IPS-1和ISP-2,防火墙NS-204的E2接口连接ISP-1(网关是200.1.1.254),接口E3连接ISP-2(网关是201.1.1.254),接口E1连接内网。我们要实现通过防火墙使内网计算机上网.
set int e1 zone trust
set int e1 ip 10.1.1.1/24
set int e1 nat
set int e2 zone untrust
set int e2 ip 200.1.1.1/24
set int e3 zone untrust
set int e3 ip 201.1.1.1/24
set vr trust-vr max-ecmp-routes 2
set vr trust-vr route 0.0.0.0/0 int e2 gateway 200.1.1.254
set vr trust-vr route 0.0.0.0/0 int e3 gateway 201.1.1.254
set policy from trust to untrust any any any permit log
在内网一台机器上连续执行ping操作,从日志上可以看到外出的信息流交替地被引导到两条外联链路上,从而实现轮循方式的负载均衡。
要注意的是这两条等代价路由必须有属于同一zone的出口。
转载于:https://blog.51cto.com/413657/1197555
127
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
