华为USG6306多线负载均衡、ISP选路配置记录。

最新推荐文章于 2025-03-25 14:23:35 发布
最新推荐文章于 2025-03-25 14:23:35 发布
阅读量1.2w 收藏 36
点赞数 1
原文链接:https://www.biosho.me/archives/407
版权
本文详细介绍了如何在USG6000&USG9000系列设备中配置多链路负载均衡,包括设置多线接入参数、配置安全策略、NAT转发、智能选路及策略路由等步骤,特别关注了过载保护、DNS透明代理及链路健康检查策略对网络性能的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

UP:
假如多链路(电信和移动)设置了过载保护,并且全局模式下为根据负载分担流量的话,可能导致企业微信发送接收消息乃至图片转圈,并且发送失败,可取消链路过载保护,改成主备模式分担,策略路由规则也是如此。

UP:
如开启了DNS透明代理功能,静态域名列表则不生效!

附USG6000&USG9000系列使用手册,必须先做好基本的配置再看本教程!
注意:前排警告,使用手册有些错误,不一定准,楼主看了走了一些弯路。
在这里插入图片描述
在这里插入图片描述

1、设置多线接入参数

在这里插入图片描述
网口一览

链路健康检查策略
在这里插入图片描述
在这里插入图片描述
可以先添加各运营商链路健康检测策略,以便在其中一条链路出现故障时 请求 不会命中此故障链路;链路健康检查支持http、icmp、dns等多种检查方式(图2),但不支持域名;
图3-5以GE1/0/2链路参数为例:

虚拟系统:root,安全区域:untrust(外网) 模式:路由
网络连接方式根据需求设置,勾选多运营商出口,运营商路由可选可不选,反正后面能做转发策略,
链路健康必选,上图以移动为例,静态ip请勾选缺省路由,关于源进源出如果有用到nat server多出口就勾选
接口带宽根据链路带宽大小填写 注意后面Mbps单位选择,过载保护看自身想法;
关于访问控制,如果只想允许这条链路的外来请求访问http、https就勾选相应的选项,不勾选即不允许。

可以先添加各运营商链路健康检测策略,以便在其中一条链路出现故障时 请求 不会命中此故障链路;链路健康检查支持http、icmp、dns等多种检查方式(图2),但不支持域名;
图3-5以GE1/0/2链路参数为例:

虚拟系统:root,安全区域:untrust(外网) 模式:路由
网络连接方式根据需求设置,勾选多运营商出口,运营商路由可选可不选,反正后面能做转发策略,
链路健康必选,上图以移动为例,静态ip请勾选缺省路由,关于源进源出如果有用到nat server多出口就勾选
接口带宽根据链路带宽大小填写 注意后面Mbps单位选择,过载保护看自身想法;
关于访问控制,如果只想允许这条链路的外来请求访问http、https就勾选相应的选项,不勾选即不允许。

2、配置安全策略
在这里插入图片描述

配置trust (内网)到untrust(外网)的转发规则,如图,博主不做任何限制允许全部 客户端转发,当然你也可以根据自身要求配置;

3、配置NAT转发
在这里插入图片描述

不做其他限制,配置trust(内网)到untrust(外网)的数据转发请求;

4、配置智能选路
在这里插入图片描述
在这里插入图片描述

负载均衡有几种方式,可根据具体需求配置,这里博主选择 根据链路带宽负载分担 出接口列表选择你的外网出口,关于chinamobile_4g这个接口组,可以在上个选项卡的接口组进行自定义;

5、配置策略路由

在这里插入图片描述

策略路由一览


在这里插入图片描述

其实默认的那条策略可以编辑掉,但由于博主太懒,以上的策略越靠近顶部优先级越高;以上策略的大意如果访问47.88这个ip,则从移动链路出去,如果访问119.92这个ip,则从电信链路出去,配置参数如最后两个图,您也可以根据自身需求变更为多出口,设置好出口优先级即可,最后记得保存!

华为 两条线负载均衡_多运营商混合多线如何做负载均衡
weixin_39644325的博客
11-29 799
在《同运营商多条外线如何做负载均衡?》一文中,我们介绍了多条外线(同一个运营商)时如何进行负载均衡。在实际使用中,很多用户的外线是不同运营商的(比如一条电信和一条移动)。对于大部分用户来说,采用《同运营商多条外线如何做负载均衡?》中的方案,即可产生多线叠加的效果。但是不同运营商多条外线直接进行均衡并不是最优化的方案,主要在于DNS的原因:“假设某终端DNS查询某域名时,获取的是运营商A的IP;而在...
华为防火墙USG6000系列多ISP上网(通过WEB界面设置)
热门推荐
daxihe880的博客
03-23 1万+
华为防火墙多ISP上网,内网分区上网。内网多网段不同上网方式。
15--华为防火墙负载均衡算法全解析 | 从轮询到哈希,教你用“魔法“分配流量(包你看一遍全部记住)
最新发布
2302_77698668的博客
03-25 866
详细介绍了防火墙负载均衡的几大算法原理,丰富的图表包你看过之后大大加深印象
华为配置篇)防火墙USG6000实现服务器的负载均衡
qq_45024159的博客
11-01 4044
小智公司内建设了一个网站,由于网站的访问量很大,为了实现访问的可靠性,在内部部署了三台同等性能的服务器做负载均衡,内网及外网所有用户均可通过企业申请的公网地址访问。允许Internet用户访问内网的Web服务器,策略的目的地址为虚拟服务器的IP地址。防火墙:192.168.88.1/30。防火墙:202.163.32.2/29。网关:172.168.254.254。网关:192.168.10.254。网关:192.168.30.254。网关:192.168.20254。内网核心交换机与防火墙对接。
华为策略由加等价由_华为 AR由 策略由 多WAN环境下指定出口
weixin_39946996的博客
12-21 848
需要符合如下要求:1.不同IP段走不同接口,指定IP的流量可以通过指定WAN,或者多WAN下自动/负载均衡(自动/负载均衡配置好,略)。2.指定接口后实现内网的隔离/互联互通操作环境:由:AR1220E-S 软件版本V200R007C00SPCc00Dialer1 电信PPPoE拨号Dialer2 联通PPPoE拨号GE0/0/6 内网接口内网网段:192.168.100.1/2...
华为USG6000V 多ISP接入Internet(基于ISP目的地址的多出口)
友人A的博客
08-15 1万+
一、组网需求 1、如图所示,某企业在网络边界处部署了NGFW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求。 具体需求如下: 研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet,要求去往特定目的地址的流量必须经由相应的运营商来转发。 当一条链出现故障时,流量可以被及时切换到另一条链上,避免业务中断。 ...
由多运营商(源进源出)配置
ducanwang的博客
01-13 845
实现方法:配置MQC,抓取相应的源进源出的服务器在内部下联接口做inbound方向的重定向,重定向到相应的运营商的出口下一跳中。nat address-group 3 group-id 3 x.x.x.x x.x.x.x(内部设备SNAT时候的地址池)nat server global x.x.x.x inside x.x.x.x(NAT SERVER的DNAT)redirect ip-nexthop x.x.x.x outbound(源进源出的NAT重定向)
USG-SLB(服务器负载均衡配置
weixin_34144450的博客
07-30 789
USG-SLB(服务器负载均衡配置 1)简介 当前的网络应用中,单台服务器的处理能力已经成为网络中的瓶颈,尤其是在IDC(Internet Data Center)、网站等应用场合。具体体现在:单服务器的平均处理能力仅为 1K TPS (每站终端数),而访问服务器的用户却很多。如果单纯升级服务器的性能,则浪费了前期的投资,且费用昂贵;如果单纯增加服务器的数目,需要...
USG5500-通过多ISP接入Internet(基于ISP目的地址的多出口).docx
09-30
USG5500-通过多ISP接入Internet(基于ISP目的地址的多出口)
华为防火墙智能篇之传统方案(电信走电信、联通走联通与“负载均衡“)
网络之路Blog(其他平台同名)
09-14 1669
上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。
华为防火墙智能篇之传统方案(电信走电信、联通走联通与“负载均衡“)...
cnzzs的博客
08-08 1553
作者:网络之一天 首发公众号:网络之博客(ID:NetworkBlog)简介上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。方案二:外网负载均衡这种方式有一定的局限性,但是配置是最简单的。(1)要求同一个运营商(2)速率要求一样,否则会出现某一条带宽被占满导致网络...
华为usg系列维护宝典 全部是经典的案列及配置指导
04-13
1.故障定位方法。2典型故障案例。3常用工具和资料。4典型组网和配置指导。5产品注意事项。6术语
华为防火墙实现服务器负载均衡
不定期分享一些自己的学习笔记
10-16 2840
华为防火墙实现服务器负载均衡
在eNSP模拟器上使用USG6000v实现服务器负载均衡(加权轮询算法)
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
06-16 2860
在eNSP模拟器上使用USG600v实现服务器负载均衡(加权轮询算法)拓扑图设备配置操作步骤结果验证 拓扑图 设备型 AR1设备为AR2220型号由器 FW1设备为USG6000型号防火墙 Server1-2为Server型号终端设备 Cloud2为其他设备中的Cloud设备,主要用来做桥接,实现对FW1的WEB界面管理 配置 1.完成终端设备网络参数配置以及网络设备基本配置(重命名+接口IP) 2.根据终端类型划分FW设备的端口所属安全区域,并放行相应的域间安全策略 3.登录FW的WEB
华为AR由器配置双出口静态IP双链负载
xdy762024688的博客
08-18 3274
AR做出口设备,在每个接口上配置了NAT,用于将上网用户的源地址转换成对应接口的公网地址,如果不配置这条策略,默认是基于源地址+目的地址hash,进行流量分配,会出现用户访问同一个站点的数据包被分配到不同的出口上(虽然是一个域名,但是可能和后端多个服务器交互,目的地址发生了变化),因此会出现访问某个网站,有些数据包通过电信出口,有些通过联通出口,从对端的服务器看,这样数据访问行为是异常的,数据包可能会被丢弃掉,用户的感受就是有卡顿,时好时坏。src-dst-ip 根据源ip地址和目标ip地址进行分流。
华为防火墙的负载均衡
Tony_long7483的博客
05-31 4264
1.配置内网IP地址 [FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24 [FW1-GigabitEthernet1/0/1]service-manage ping permit //接口放行ping命令,以便测试 2.配置外网IP地址及其互通 [FW1-GigabitEthernet1/0/2]ip add 20.1.1.1 24 [FW1-GigabitEthernet1/0/2]service-manage ping permit [AR1-Gigabit.
华为防火墙智能篇之链权重(带宽)负载分担
网络之路Blog(其他平台同名)
09-16 2014
健康检查跟ip-link一样,需要先定好一个监测点,不变的思,肯定是找大厂商稳定的测试地址为主,比如114、阿里云DNS、百度云DNS都是可以的,但是ip-link只支持icmp探测,有局限性,但是健康检查支持更多的协议,可以基于TCP、DNS(解析某个网站)、HTTP来GET网页、ICMP,在实际中就有更多的择,常见的可以用ICMP探测以及DNS解析与TCP,下面博主用DNS以及TCP来演示下。当配置完健康检查后,会看到这样的提示,状态已经up了,说明检查成功了。
华为由器负载均衡_华为由器双出口负载均衡+备份(示例代码)
weixin_32445049的博客
12-24 4852
一个网段内,IP地址(末位奇数)走电信,IP地址(末位偶数)走联通当某个运营商不可达时,自动切换。通过NQA来确定运营商是否可达。,并与流行为、静态由联动,实现自动切换。默认由走电信,当电信不可达走联通(根据配置由优先级,华为交换机静态由默认优先级为60).acl number 3001description dan-dianxinrule 10 permit ip source 10....
由器多出口部署实战
悦分享
10-07 1042
只光靠由器接口down做主备切换,当在ISP由器接口down了,由器直连的接口认为主备线还是up的,会导致传输问题,这时候就需要由器网络质量健康检测。匹配到vlan10流量,重定向下一跳到88.8.1.1,匹配到vlan20流量,重定向下一跳到99.9.1.1。由器基于源的负载均衡干预,基于策略由方式,Vlan10流量走左边,Vlan20流量从R1的右边走。基于BFD静态由方式,BFD检测做在静态由上,如果ISP上的接口出现故障,仍然会存在问题。注意:基于源的策略要优于基于目的的策略。
华为usg6000配置vrrp双机热备+负载均衡
08-23
华为USG6000的配置VRRP双机热备和负载均衡的步骤如下: 1. 首先,确保已经部署了两台或多台华为USG6000防火墙,并将其连接到网络中。 2. 在每台防火墙上进行VRRP配置。通过登录到每台防火墙的管理界面,进入VRRP配置菜单。 3. 在VRRP配置菜单中,设置双机热备的相关参数。包括VRRP组号、优先级、虚拟IP地址等。确保两台防火墙的VRRP组号相同,但优先级不同。 4. 配置负载均衡功能。根据实际需求,择使用源地址、目的地址或端口等参数来实现负载均衡。可以设置不同的策略和权重来决定数据流量的分发。 5. 完成VRRP和负载均衡配置后,两台防火墙将相互协同工作,实现热备和负载均衡的功能。其中, #### 引用[.reference_title] - *1* *2* *3* [华为防火墙VRRP双机热备的原理及配置详解](https://blog.csdn.net/weixin_44907813/article/details/102825300)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值