组网图形

    

组网需求

通过配置根据链路带宽负载分担,使流量按照带宽的比例分担到各链路上,保证带宽资源得到充分利用。

  如图1所示,企业分别从ISP1和ISP2租用了一条链路,ISP1链路的带宽为100M,ISP2链路的带宽为50M。

  • 企业希望流量按照带宽比例分担到ISP1和ISP2链路上,保证带宽资源得到充分利用。
  • 当其中一条ISP链路过载时,后续流量将通过另一条ISP链路传输,提高访问的可靠性。

配置思路

由于企业希望上网流量能够根据带宽比例进行分配,所以智能选路的方式设置为根据链路带宽负载分担。为了保证链路故障或过载时,FW可以使用其他链路转发流量,还需要配置健康检查功能和链路过载保护功能。

  • 1.可选:配置健康检查功能,分别为ISP1和ISP2链路配置健康检查。
  • 2.配置接口的IP地址、安全区域、网关地址、带宽和过载保护阈值,并在接口上应用健康检查。
  • 3.配置全局选路策略。配置智能选路方式为根据链路带宽负载分担,并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。
  • 4.配置基本的安全策略,允许企业内网用户访问外网资源。

说明:

本例着重介绍智能选路相关的配置,其余配置如NAT请根据实际组网进行配置。

操作步骤

  • 1.可选:开启健康检查功能,并为ISP1和ISP2链路分别新建一个健康检查。假设ISP1网络的目的地址网段为3.3.10.0/24,ISP2网络的目的地址网段为9.9.20.0/24。
<FW> system-view

[FW] healthcheck enable

[FW] healthcheck name isp1_health

[FW-healthcheck-isp1_health] destination 3.3.10.10 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10001

[FW-healthcheck-isp1_health] destination 3.3.10.11 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10002

[FW-healthcheck-isp1_health] quit

[FW] healthcheck name isp2_health

[FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10003

[FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10004

[FW-healthcheck-isp2_health] quit
  • 2.配置接口的IP地址和网关地址,配置接口所在链路的带宽和过载保护阈值,并应用对应的健康检查。
[FW] interface GigabitEthernet 1/0/1

[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0

[FW-GigabitEthernet1/0/1] gateway 1.1.1.254

[FW-GigabitEthernet1/0/1] bandwidth ingress 50000 threshold 90

[FW-GigabitEthernet1/0/1] bandwidth egress 50000 threshold 90

[FW-GigabitEthernet1/0/1] healthcheck isp1_health

[FW-GigabitEthernet1/0/1] quit

[FW] interface GigabitEthernet 1/0/3

[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0

[FW-GigabitEthernet1/0/3] quit

[FW] interface GigabitEthernet 1/0/7

[FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0

[FW-GigabitEthernet1/0/7] gateway 2.2.2.254

[FW-GigabitEthernet1/0/7] bandwidth ingress 10000 threshold 90

[FW-GigabitEthernet1/0/7] bandwidth egress 10000 threshold 90

[FW-GigabitEthernet1/0/7] healthcheck isp2_health

[FW-GigabitEthernet1/0/7] quit
  • 3.配置全局选路策略,流量根据链路优先级负载分担。
[FW] multi-interface

[FW-multi-inter] mode priority-of-userdefine

[FW-multi-inter] standby-interface status down

[FW-multi-inter] add interface GigabitEthernet1/0/1 priority 2

[FW-multi-inter] add interface GigabitEthernet1/0/7

[FW-multi-inter] quit
  • 4.将接口加入安全区域。
[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet 1/0/3

[FW-zone-trust] quit

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet 1/0/1

[FW-zone-untrust] add interface GigabitEthernet 1/0/7

[FW-zone-untrust] quit
  • 5.配置Local到Untrust区域的安全策略,允许FW向目的设备发送相应的健康检查探测报文。
[FW] security-policy

[FW-policy-security] rule name policy_sec_local_untrust

[FW-policy-security-rule-policy_sec_local_untrust] source-zone local

[FW-policy-security-rule-policy_sec_local_untrust] destination-zone untrust

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.10 32

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.11 32

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.20 32

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.21 32

[FW-policy-security-rule-policy_sec_local_untrust] service tcp

[FW-policy-security-rule-policy_sec_local_untrust] action permit

[FW-policy-security-rule-policy_sec_local_untrust] quit
  • 6.配置Trust到Untrust区域的安全策略,允许企业内网用户访问外网资源。假设内部用户网段为10.3.0.0/24。
[FW-policy-security] rule name policy_sec_trust_untrust

[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust

[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust

[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.3.0.0 24

[FW-policy-security-rule-policy_sec_trust_untrust] action permit

[FW-policy-security-rule-policy_sec_trust_untrust] quit

[FW-policy-security] quit

HUAWEI防火墙双出口据链路带宽负载分担的更多相关文章

  1. HUAWEI防火墙双出口根据链路优先级主备备份

    组网图形 组网需求 通过配置根据链路优先级主备备份,FW可以在主接口链路故障时,使用备份接口链路转发流量,提高传输的可靠性. 如图1所示,企业从ISP1租用2条链路,带宽均为50M,从ISP2租用1条 ...

  2. 防火墙双出口环境下私网用户通过NAPT访问Internet

    组网图形 组网需求 如图1所示,某企业在网络边界处部署了FW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求. 具体需求如下: 研发部门和市场 ...

  3. 双链路接入(双出口)isp运营商(负载分担)

    USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击. 组网需求 某学校网络通过USG连接到Internet,校内组网情况如下: 校内用户主要分布 ...

  4. HCNA配置手工负载分担模式链路聚合

    一.配置手工负载分担模式链路聚合 链路聚合(Link Aggregation)是将—组物理接口捆绑在一起作为一个逻辑接口来增加带宽的一种方法,又称为多接口负载均衡组(Load Sharing Grou ...

  5. 华为S5700系列交换机AR配置静态IP双链路负载分担

    适用于:有多个以太WAN口的机型. 业务需求: 运营商1分配的接口IP为100.100.1.2,子网掩码为255.255.255.252,网关IP为100.100.1.1. 运营商2分配的接口IP为2 ...

  6. 关于VXLAN的认识-----ovs+vxlan多链路负载分担的实现方法

    一.应用环境 目前大部分网关或服务器设备常采用双链路同时接入多条ISP链路的方式来满足网络的负载均衡和主备切换等,实现该功能常用的方法是利用策略路由技术,根据链路的网络状况和权重配置在路由时动态选择不 ...

  7. 网络拓扑实例之VRRP负载分担(四)

    组网图形  VRRP负载分担简介 负载分担方式是指多台设备同时承担业务,因此负载分担方式需要两个或者两个以上的虚拟路由器,每个虚拟路由器都包括一个Master路由器和若干个Backup路由器,各虚拟路 ...

  8. 交换机配置OSPF负载分担

    组网图形 OSPF负载分担简介 等价负载分担ECMP(Equal-Cost Multiple Path),是指在两个网络节点之间同时存在多条路径时,节点间的流量在多条路径上平均分摊.负载分担的作用是减 ...

  9. 如何设置nginx日志格式来查看负载分担结果

     转载:http://www.cnblogs.com/LoveJulin/p/5082363.html nginx配置好负载分担后,测试的时候,如何查看负载分担情况:通过设置nginx日志显示: ng ...

随机推荐

  1. Java并发之ThreadPoolExecutor源码解析(二)

    ThreadPoolExecutor ThreadPoolExecutor是ExecutorService的一种实现,可以用若干已经池化的线程执行被提交的任务.使用线程池可以帮助我们限定和整合程序资源 ...

  2. Vue3.0+Electron聊天室|electron跨平台仿QQ客户端|vue3.x聊天应用

    基于vue3+electron11跨端仿制QQ桌面应用实战Vue3ElectronQchat. 使用vue3+electron+vuex4+ant-design-vue+v3scroll+v3laye ...

  3. Django的ORM封装接口详细

    [前言]Django的orm操作本质上会根据对接的数据库引擎,翻译成对应的sql语句:所有使用Django开发的项目无需关心程序底层使用的是MySQL.Oracle.sqlite....,如果数据库迁 ...

  4. GMS的概述

    1 GMS GMS全称为GoogleMobile Service,即谷歌移动服务. GMS是Google所提供的一系列移动服务,包括开发用的一系列服务和用户所用的Google Apps. Maps与L ...

  5. CSS元素层级的概念及性质

    元素的层级的介绍 什么是元素的层级 通过z-index可以改变开启定位元素的层级 父元素的层级再高也不会遮盖住子元素 元素的层级的介绍 什么是元素的层级 当元素开启定位后就会是元素提升一个层级,网页是 ...

  6. 后端程序员之路 10、gbdt(Gradient Boosting Decision Tree)

    1.GbdtModelGNode,含fea_idx.val.left.right.missing(指向left或right之一,本身不分配空间)load,从model文件加载模型,xgboost输出的 ...

  7. 实现 Abp Vnext Pro

    Abp Vnext Pro 的 Vue 实现版本 开箱即用的中后台前端/设计解决方案 知识点 .Net Core5.0 Abp Vnext 4.x , Ant Design, Vue2.x Mysql ...

  8. LeetCode392. 判断子序列

    原题链接 1 class Solution: 2 def isSubsequence(self, s: str, t: str) -> bool: 3 lens,lent = len(s),le ...

  9. spring boot自定义类配置绑定在配置文件中自动提示

    在spring boot的日常使用中,我们可能需要使用配置绑定的方式动态配置自定义类的成员变量. 这个时候,我们在配置文件中配置spring默认已有的配置时,只需要输入部分关键字即可自动提示,如下图: ...

  10. 【免费开源】基于Vue和Quasar的crudapi前端SPA项目实战—环境搭建 (一)

    背景介绍和环境搭建 背景 crudapi增删改查接口系统的后台Java API服务已经全部可用,需要一套后台管理UI,主要用户为开发人员或者对计算机有一定了解的工作人员,通过UI配置元数据和处理业务数 ...