华为防火墙智能选路篇之传统方案（电信走电信、联通走联通与“负载均衡“）

简介

上一篇介绍了第一种方案：主备方式，在传统方案里面还有三种比较常用的，这一篇就来了解了解下是哪三种。

方案二：外网负载均衡

这种方式有一定的局限性，但是配置是最简单的。（1）要求同一个运营商 （2）速率要求一样，否则会出现某一条带宽被占满导致网络访问缓慢以及丢包的情况。

 

这里实验环境用的真机，一台6307E接了2个宽带，同运营商的50M速率，来看看直接使用负载均衡模式会变成这样的效果。配置很简单，6307E上面接了2个宽带（DHCP模式），划入了同一个安全区域 untrust，测试PC接了内网一个口在trust，安全策略与NAT策略都是允许上网即可。（网段为192.168.254.0/24，测试环境可以自由定。）

在测试两条线路之前，先测试一条外网的情况下直接，把另外一个外网口关掉

[USG6300E]interface GigabitEthernet 0/0/9

[USG6300E-GigabitEthernet0/0/9]shutdown

第一个宽带已经测试完毕，速度是50m，上传是8m，下面把第二个宽带的接口也开启，在来测速看看。

[USG6300E-GigabitEthernet0/0/9]undo shutdown

接口同时获取到了猫分配的地址，并且自动的有默认路由生成，因为猫DHCP下发了，路由表里面目前是两条默认路由，在来测速一下。

连续测试了10次左右，最低的速度在70m，最高的速度在84m，在华为防火墙里面的默认负载均衡模式是源IP+目的IP的组合，在实际工作中，如果说这种模式来带的效果并不理想，可以调整为源端口号、源IP+目的端口号、目的IP的组合。

[USG6300E]firewallload-balance flow hash source-ip  destination-ip source-port destination-port

也是10次测试结果截图，可以看到带宽的利用率比之前的模式要高一些，上传由于本身只有这么高所以无法在叠加了。

博主经验分享：（1）实际中具体用哪种负载均衡方式没有绝对，以实际测试为准  （2）实验演示的是双DHCP组合的外网方式，在实际中可能还会有DHCP+拨号、双拨号、以及静态加DHCP或静态加拨号的场景，不管使用哪种场景，记住让默认路由负载均衡即可，也就是同时出现在路由表中，同时出现在路由表中的条件就是优先级一样。（3）最后一个重要的地方，负载均衡的方式一定要遵循开篇说的那2个注意事项以外，在实际中还会遇到比如某一条宽带出现问题的情况，可能会导致该链路出现了故障，但路由表的路由还存在的情况，最终负载均衡会把流量分配到有问题的链路上面去，所以这个时候建议配置ip-link功能，调用到两个接口下，这样不管哪个链路出现问题，故障链路对应的默认路由都能够在路由表中消失。（不太理解的可以参考视频讲解，会更加详细也有实验演示。）

方案三：电信走电信，联通走联通（移动走移动）

在没有CND智能解析以及云网络不普及的时候，会出现这样的情况，客户那边有两个外网，但是不是同一个运营商的，如果采用负载均衡技术，就会出现原本走电信的跑到联通去了，甚至说有的业务它只有电信的网络提供了服务，联通没有，那么如果这个时候从联通的链路访问该业务就会出现非常慢以及访问不到的情况，所以在各种路由器以及防火墙中会内置一个功能--就是ISP选路，ISP选路的原理是厂商在出厂或者离线的方式提供各个运营商的路由条目，调试人员只需要在需要的时候调用到对应的出口，那么可以实现比如匹配联通路由表的走联通，匹配电信路由表的走电信。

但随着CDN解析以及各种云供应商的出现，这个功能的实用性就很低了，CND智能解析跟云上面的业务提供了很智能的方式，比如你是电信的用户来请求某一个域名，它可以根据你所在的运营商给你推送对应服务器的线路，比如你是电信的网络，那么就推送该服务对应电信的服务器地址给你，甚至可以实现比如你是广东用户，会推送最近的边缘节点地址给你，来让访问变的更快，而且实现了多运营商结合，在这种趋势下，该功能需求就变的很少了，在这章节里面不在过多讲解了（视频会单独录制一个如何配置，获取路由表信息）。在实际中更多的可能是主备方式或者是基于内网的负载均衡，当让也有个别的情况，比如某个应用他只有联通或者电信才能访问的很快，这个时候的做法就是单独写一个基于这个应用的条目或者域名走某个出口，其余的还是走另外一个，出现问题后在切换。

操作流程（具体操作可以看收费课程）

1、isecurity.huawei.com/sec/web/urlClassification.do  （特征库升级里面下载最新路由表，需要注册账号）

2、网络----路由----智能选路----运营商地址库---导入（WEB界面）

3、网络----路由----ISP路由---新建--基于某个运营商走对应的出口出去，并且可以关联ip-link

方案四：基于内网的负载分担

这种方式在传统方案中属于万金油方式，也是早期博主最喜欢用的一种，它对比主备方式更能把带宽利用上，又不用管出口到底是不是同一个运营商，接下来看看基于内网的负载分担是怎么实现的。

客户有两个出口网络，一个是电信、一个是联通，客户希望的是这两个宽带资源都利用上，并且在某个链路出现故障的时候能够自动切换 保证网络通信的正常。基于内网的负载分担的意思是，根据内网多网段，人为的进行划分，实现某几个网段走电信线路，剩下的走联通线路出去，当某一个线路出现故障后，直接自动切换。（比如该案例中，办公网走电信，财务走联通，当某一个线路出现故障后直接进行切换）这样既利用了带宽资源，又使得网络有了冗余性。（温馨提示：在26篇该拓扑还会继续使用，建议小伙伴保存配置）

注意事项

虽说该方法属于万金油，但是也要注意一些场合

（1）在同一运营商的情况下，DNS分配用对应运营商的即可，但是如果是不同运营商的情况下，那么DNS建议使用公有DNS（具体原因可以参考22篇）

（2）不管是同一运营商还是不同运营商都需要用到ip-link技术，来关联某一个监测点测试线路的正常性。

（3）基于内网的负载分担需要利用到策略路由技术，这属于新的知识点，前面没有讲解到过，下面会给注释与说明。

（4）伴随着业务越多，技术混合同时使用的场景，会出现配置策略路由后，导致一些功能失效。（比如内网通过公网访问内网访问失效、比如某些映射、VPN流量访问失败，这个博主会放在案例篇里面来详细讲解。）

配置部分说明

关于配置核心交换机以及出口防火墙部分参考第22篇，配置是一样的，这里博主主要讲解基于内网负载分担的思路以及策略路由相关的内容。（都23篇了，还不能自主配置核心与防火墙的基础配置有点说不过去~）

（0）DNS增加了两个域名，方便测试（客户端测试把DNS设置成223.5.5.5）

（1）ip-link配置

iplink这里需要定义两个，一个探测电信的，一个探测联通，为什么需要两个，在配置完策略路由后就会知道了。

ip-link check enable

ip-link name dx

 destination 223.5.5.5 interfaceGigabitEthernet1/0/1 mode icmp next-hop 202.100.1.2

ip-link name lt

 destination 223.5.5.5 interfaceGigabitEthernet1/0/2 mode icmp next-hop 61.128.1.2

（2）默认路由

ip route-static 0.0.0.00.0.0.0 202.100.1.2 track ip-link dx

ip route-static 0.0.0.00.0.0.0 61.128.1.2 preference 70

可以发现这里博主用了2个默认路由，主默认路由调用了ip-link，而备用没有直接把优先级调低了，到这里其实跟主备模式（22篇）的配置一样

（3）策略路由

[USG6000V1]policy-based-route  //进入策略路由进程

[USG6000V1-policy-pbr]rulename caiwu  //定义一个名字为财务

[USG6000V1-policy-pbr-rule-caiwu]source-zonetrust   //匹配源区域从trust过来的

[USG6000V1-policy-pbr-rule-caiwu]source-address192.168.20.0 24    //匹配源地址网段是192.168.20.0

[USG6000V1-policy-pbr-rule-caiwu]actionpbr next-hop 61.128.1.2    //执行动作强制走61.128.1.2

[USG6000V1-policy-pbr-rule-caiwu]track ip-link lt    

策略路由的配置非常简单，但是这里有个逻辑关系一定要明白，否则后面在规划与配置的时候没有思路，我们来测试下，待会整体分析下。

测试

不管是10网段的还是20网段的，访问百度以及163都是正常的，我们需要知道10网段以及20网段走的是不是对应的出口，可以通过会话表以及看PBR的匹配数来查看。

从会话表看，10网段走的是电信的出口，20网段走的是联通的出口，达到了我们的需求。

display  policy-based-route  rule  name caiwu  ，可以查看某个PBR的匹配是否有命中，当前可以看到有4个命中，说明PBR是生效的。

也可以通过tracert来追踪到底走的哪个出口出去的，通过这些现象可以发现已经达到了我们的需求了，验证后，在回过来看博主上面配置的思路就会非常的清晰了。

（1）博主配置了两个ip-link，一个dx，一个lt，dx的直接调用在了默认路由上面，而lt的则是关联在策略路由

（2）默认路由存在两条，但是是主备的方式存在，主的是电信的，并且关联了ip-link，备用调低了优先级，默认不会存在路由表

（3）最终的效果是，当192.168.20.0/24网段过来会先匹配策略路由（前提是ip-link lt是up的），那么会强制走61.128.1.2，剩下的192.168.10.0/24网段由于策略路由没有匹配，最终会走路由表中的默认路由出去，实现192.168.10.0网段走电信，192.168.20.0通过策略路由走联通。（策略路由的优先级是高于路由表的）

（4）两个ip-link的作用体现在，当dx的状态由up--down后

那么对应默认路由关联的走电信的失效，路由表的默认路由会切换到走联通，从而192.168.10.0/24自然会切换到联通。

同样当lt的状态由up--down后

那么对应的策略路由失效，策略路由失效后自然查找路由表走默认路由出去，走电信，所以两个ip-link是关键，能够实现对应的线路出现问题后自动切换保障内网用户网络的冗余性。

扩展思考：如果客户内网只有一个网段的情况下，如何做基于内网的负载分担比较好呢？

需要注意的地方

传统选路方案在这里就讲解完毕了，整体下来其实需要注意三点

（1）主备模式或者基于内网的负载分担根据需求跟规划来完成默认路由的主备情况（如果是基于内网的负载分担加上策略路由）

（2）根据实际需求规划ip-link，ip-link是检测线路以及帮助切换的重要技术

（3）基于外网的负载分担可以根据测试的结果来调整均衡的组合方式，哪个效果最佳选择哪个。

（4）WEB相关的操作篇幅问题就不在展示，视频部分会单独录制讲解

“承上启下”

传统方案在实际中应用比较常见的除了ISP选路以外，其余的根据客户需求来规划采用什么技术，运用一定是要明白客户需求（意见）后在来规划实施，比较万金油的就是主备以及基于内网的负载分担，而外网的负载均衡模式需要是同一个运营商，然后速率保持一致的情况下，可以发现不管哪种方式都有很大的局限性，针对这样的情况，华为下一代防火墙提出了智能选路的功能来解决传统选路方案带来的问题，下一篇开始就进入智能选路，看看有哪些更实用的功能。