目录
Ⅰ 双线路同运营商上网配置
一、组网需求
现设备上申请了两条电信线路,带宽大小相同 ,通过配置实现负载均衡、冗余备份。
电信1:wan1口 202.1.1.2/30,网关为202.1.1.1
电信2:wan2口 202.1.1.6/30,网关为202.1.1.5;
internal口: 内网
本例以互联网接口的地址作为nat。
二、网络拓扑
三、配置要点
1、配置接口IP
2、配置路由
3、配置zone(untrust和 trust)
4、配置策略
5、配置ECMP负载均衡方式
四、操作步骤
1、配置接口IP
进入菜单:系统管理--网络--接口--编辑wan1
配置ip及子网掩码:202.1.1.2/30
进入菜单:系统管理--网络--接口--编辑wan1
wan2口 202.1.1.6/30,网关为202.1.1.5;
配置结果如下:
2、配置路由
菜单: 路由--静态--静态路由,点击
按如下方式创建如下2条路由表:
目的的IP/子网掩码: 由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。
设备: 该路由所关联的接口,wan1口,必须正确填写,否则该路由无法工作。
网关: 下一跳ip地址, 即wan1口对端运营商设备接口的ip地址。
路径长度:默认10 . 长度小的路由会被装入路由表。
优先级:默认0. 优先级小的优先使用。
目的的IP/子网掩码: 由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。
设备: 该路由所关联的接口,wan2口,必须正确填写,否则该路由无法工作。
网关: 下一跳ip地址, 即wan2口对端运营商设备接口的ip地址。
路径长度:默认10 . 长度小的路由会被装入路由表。
优先级:默认0. 优先级小的优先使用。
注意: (1) 要想实现两个出口线路同时工作,两条路由表的路径长度必须相同。否则路径长度长的路由条目,不会装入路由表.
(2)路径长度相等的同时,优先级必须相同。 如果路径相等优先级不同,则虽然两条路由都会被装入路由表,防火墙会优先采用优先级数值较小的路由工作,无法实现两条链路的流量均担。
3、配置区域
说明:采用区域的方式,为了配置更加快捷、精简。如果采用基于物理接口的方式,则需要配置多条防火墙策略。
进入菜单: 系统管理--网络--区,点击 ”新建“按钮
分别按如下方式建立 untrust 和trust 区。 可以理解为接口组,名字任意定义。
配置后,接口显示如下:
4、配置策略
对于某些低端型号,如,系统会默认配置一条从interna到wan1的策略。如果无默认策略,按如下方式添加。
菜单: 防火墙--策略--策略, 点击 "新建"
按如下方式建立策略:
源接口/区:trust
源地址:lan 内部网络地址
源接口/区:untrust
目的地址选择: all,代表所有的地址。
服务: any
记录允许流量: 默认选择, 建议取消。
NAT: 选择 ”启用NAT“, 系统会自动将内网的lan地址段ip,转换为wan1或wan2接口的IP地址,进行互联网访问。
点击”确定“按钮后,系统自动保存配置,策略生效。
注意:启用“记录允许流量(记录流日志)”将会给系统带来额外的资源消耗,所以非必要情况下请不要启用记录日志。
5、配置ECMP负载均衡方式
防火墙支持如下三种的链路均衡方式:
基于源ip: 根据源地址的不同该选择不同的路由。
权重负载均衡: 根据权重值来选择路由,本例使用该方式。
比如wan1 50, wan2 50,其他为0 则2条链路会1:1的比例分配流量。
比如wan1 50, wan2 100,则流量会按照1:2 的比例分配。
溢出: 当一个链路流量超过某个阀值的时候,使用另外一条链路。
注意:推荐采用“基于源IP”的负载均衡方式。因为例如网银、网游会进行源IP的验证,如果存在不同IP的多条流的交互,将会导致网银业务交互失败、游戏掉线等问题。
五、验证效果
查看到两个接口的实时速率。
Ⅱ 双线路不同运营商上网配置
防火墙到电信和联通分别有一条链路,去往电信的ip,通过wan1口;去往网通的ip,通过wan2口。
电信:wan1口 202.1.1.2/30,网关为202.1.1.1; NAT地址池: 100.0.0.1-10
联通:wan2口 202.1.1.6/30,网关为202.1.1.5; NAT地址池: 200.0.0.1-10
internal口: 内网
二、网络拓扑
三、配置要点
1、配置接口IP
2、配置路由
3、配置地址池
4、配置策略
注意事项:
当前统计到的路由表条目:电信路由表条目为1800多条,网通为400多条,移动30条左右;
1. 由于S3100和S3600路由表空间有限(100条),故不适用于多线路场景;
2.M5100和M6600路由表条目为500条,当有电信和其他运营商如网通等多线路时,建议电信线路添加默认路由,网通线路添加静态路由;
3.X8500和X9300系列防火墙路由表空间充足;
四、操作步骤
1、配置接口IP
进入菜单:系统管理--网络--接口--编辑wan1
配置ip及子网掩码:202.1.1.2/30
进入菜单:系统管理--网络--接口--编辑wan1
wan2口 202.1.1.6/30,网关为202.1.1.5;
配置结果如下:
2、配置路由
电信路由: 配置一条wan1口的默认路由
联通路由: 参照附件内的路由表导入工具,为其配置明细路由(推荐)。
反之联通配置默认路由,电信配置明细路由亦可。
菜单: 路由--静态--静态路由,点击“新建”
按如下方式创建电信默认路由表:
目的的IP/子网掩码: 由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。
设备: 该路由所关联的接口,wan1口,必须正确填写,否则该路由无法工作。
网关: 下一跳ip地址, 即wan1口对端运营商设备接口的ip地址。
路径长度:默认10 . 长度小的路由会被装入路由表。
优先级:默认0. 优先级小的优先使用。
参照附件路由表导入工具(操作方式详见附件),导入联通明细路由
3、配置地址池
进入菜单: 防火墙--虚拟ip--ip池,点击 ”新建“按钮
分别创建2 个地址池:
名称:telcom100.0.0.1-10
类型:“超载”,动态的从地址池中分配
外部IP范围/子网:100.0.0.1-100.0.0.10
地址解析协议回复:启用,ARP回应,如同发送免费ARP。
名称:unicom00.0.0.1-10
类型:“超载”,动态的从地址池中分配
外部IP范围/子网:200.0.0.1-200.0.0.10
地址解析协议回复:启用,ARP回应,如同发送免费ARP。
4、配置策略
配置2条策略,internal---wan1, internal---wan2.
菜单: 防火墙--策略--策略, 点击 "新建"
按如下方式建立策略internal-wan1:
源接口/区:internal
源地址:lan 内部网络地址
源接口/区:wan1
目的地址选择: all,代表所有的地址。
服务: any
记录允许流量: 默认选择, 建议取消(正常数据包流量太大,会产生很多日志,且正常的日志没有记录意义)。
NAT: 选择 ”启用NAT“, 勾选” 动态IP地址池“,并选择相应的地址池 telecom100.0.0.1-10,
按如下方式建立策略internal-wan1:
源接口/区:internal
源地址:lan 内部网络地址
源接口/区:wan2
目的地址选择: all,代表所有的地址。
服务: any
记录允许流量: 默认选择, 建议取消。
NAT: 选择 ”启用NAT“, 勾选” 动态IP地址池“,并选择相应的地址池 unicom200.0.0.1-10,
五、验证效果
上网测试,通过tracert命令,检测路径是否正确。
6366
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
