一、组网需求
现设备上申请了两条电信线路,带宽大小相同 ,通过配置实现负载均衡、冗余备份。
电信1:wan1口 202.1.1.2/30,网关为202.1.1.1
电信2:wan2口 202.1.1.6/30,网关为202.1.1.5;
internal口: 内网
本例以互联网接口的地址作为nat。 如果需要使用地址池来做nat,策略配置部分请参照下一节《双线路不同运营商上网配置》。
二、网络拓扑
三、配置要点
1、配置接口IP
2、配置路由
3、配置zone(untrust和 trust)
4、配置策略
5、配置ECMP负载均衡方式
四、操作步骤
1、配置接口IP
进入菜单:网络--接口--编辑 wan1
配置ip及子网掩码:202.1.1.2/30,网关为202.1.1.1
进入菜单:网络--接口--编辑wan2
wan2口 202.1.1.6/30,网关为202.1.1.5;
配置结果如下:
2、配置路由
菜单: 网络--静态路由,点击 "新建"
按如下方式创建如下2条路由表:
目的的IP/子网掩码: 由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。
设备: 该路由所关联的接口,wan1/wan2口,必须正确填写,否则该路由无法工作。
网关: 下一跳ip地址, 即wan1/wan2口对端运营商设备接口的ip地址。
路径长度:默认10 . 长度小的路由会被装入路由表。
优先级:默认0. 优先级小的优先使用。
注意: (1) 要想实现两个出口线路同时工作,两条路由表的路径长度必须相同。否则路径长度长的路由条目,不会装入路由表.
(2)路径长度相等的同时,优先级必须相同。 如果路径相等优先级不同,则虽然两条路由都会被装入路由表,防火墙会优先采用优先级数值较小的路由工作,无法实现两条链路的流量均担。
3、配置区域
说明:采用区域的方式,为了配置更加快捷、精简。如果采用基于物理接口的方式,则需要配置多条防火墙策略。
进入菜单: 网络--接口,点击 "新建"按钮选择"所属区域"
分别按如下方式建立 untrust 和trust 区。可以理解为接口组,名字任意定义。
配置后,接口显示如下:
4、配置策略
对于某些低端型号,如,系统会默认配置一条从internal到wan1的策略。如果无默认策略,按如下方式添加。
菜单: 策略&对象--IPv4策略, 点击 "新建"
按如下方式建立策略:
流入接口:trust
源地址:选择刚才定义的地址资源"lan"上网网段
流出接口:untrust
目的地址选择: all,代表所有的地址
时间表:always
服务: ALL
动作:ACCEPT
NAT: 选择 "启用NAT", 系统会自动将内网的lan地址段ip,转换为untrust的接口组里的wan1/wan2接口地址,进行互联网访问。
点击"确定"按钮后,系统自动保存配置,策略生效。
注意:启用"记录允许流量(记录流日志)"将会给系统带来额外的资源消耗,所以非必要情况下请不要启用记录日志。
5、配置ECMP负载均衡方式
防火墙支持如下所示的链路均衡方式:
基于源ip : 根据源地址的不同该选择不同的路由。
权重负载均衡 : 根据权重值来选择路由,本例使用该方式。
比如wan1 50, wan2 50,其他为0 则2条链路会1:1的比例分配流量。
比如wan1 50, wan2 100,则流量会按照1:2 的比例分配。
溢出 : 当一个链路流量超过某个阀值的时候,使用另外一条链路。
注意: 推荐采用"基于源IP"的负载均衡方式。因为例如网银、网游会进行源IP的验证,如果存在不同IP的多条流的交互(同时通过wan1/wan2做不同的NAT转换成不同的公网IP,一个网银user使用了多个公网IP访问网银业务),将会导致网银业务交互失败、游戏掉线等问题。
五、验证效果
查看到两个接口的实时速率。