HUAWEI防火墙双出口据链路带宽负载分担

组网图形

　　　　

组网需求

通过配置根据链路带宽负载分担，使流量按照带宽的比例分担到各链路上，保证带宽资源得到充分利用。

　　如图1所示，企业分别从ISP1和ISP2租用了一条链路，ISP1链路的带宽为100M，ISP2链路的带宽为50M。

• 企业希望流量按照带宽比例分担到ISP1和ISP2链路上，保证带宽资源得到充分利用。
• 当其中一条ISP链路过载时，后续流量将通过另一条ISP链路传输，提高访问的可靠性。

配置思路

由于企业希望上网流量能够根据带宽比例进行分配，所以智能选路的方式设置为根据链路带宽负载分担。为了保证链路故障或过载时，FW可以使用其他链路转发流量，还需要配置健康检查功能和链路过载保护功能。

• 1.可选：配置健康检查功能，分别为ISP1和ISP2链路配置健康检查。
• 2.配置接口的IP地址、安全区域、网关地址、带宽和过载保护阈值，并在接口上应用健康检查。
• 3.配置全局选路策略。配置智能选路方式为根据链路带宽负载分担，并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。
• 4.配置基本的安全策略，允许企业内网用户访问外网资源。

说明：

本例着重介绍智能选路相关的配置，其余配置如NAT请根据实际组网进行配置。

操作步骤

• 1.可选：开启健康检查功能，并为ISP1和ISP2链路分别新建一个健康检查。假设ISP1网络的目的地址网段为3.3.10.0/24，ISP2网络的目的地址网段为9.9.20.0/24。

<FW> system-view
[FW] healthcheck enable
[FW] healthcheck name isp1_health
[FW-healthcheck-isp1_health] destination 3.3.10.10 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10001
[FW-healthcheck-isp1_health] destination 3.3.10.11 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10002
[FW-healthcheck-isp1_health] quit
[FW] healthcheck name isp2_health
[FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10003
[FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10004
[FW-healthcheck-isp2_health] quit

• 2.配置接口的IP地址和网关地址，配置接口所在链路的带宽和过载保护阈值，并应用对应的健康检查。

[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1] gateway 1.1.1.254
[FW-GigabitEthernet1/0/1] bandwidth ingress 50000 threshold 90
[FW-GigabitEthernet1/0/1] bandwidth egress 50000 threshold 90
[FW-GigabitEthernet1/0/1] healthcheck isp1_health
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/7
[FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0
[FW-GigabitEthernet1/0/7] gateway 2.2.2.254
[FW-GigabitEthernet1/0/7] bandwidth ingress 10000 threshold 90
[FW-GigabitEthernet1/0/7] bandwidth egress 10000 threshold 90
[FW-GigabitEthernet1/0/7] healthcheck isp2_health
[FW-GigabitEthernet1/0/7] quit

• 3.配置全局选路策略，流量根据链路优先级负载分担。

[FW] multi-interface
[FW-multi-inter] mode priority-of-userdefine
[FW-multi-inter] standby-interface status down
[FW-multi-inter] add interface GigabitEthernet1/0/1 priority 2
[FW-multi-inter] add interface GigabitEthernet1/0/7
[FW-multi-inter] quit

• 4.将接口加入安全区域。

[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] add interface GigabitEthernet 1/0/7
[FW-zone-untrust] quit

• 5.配置Local到Untrust区域的安全策略，允许FW向目的设备发送相应的健康检查探测报文。

[FW] security-policy
[FW-policy-security] rule name policy_sec_local_untrust
[FW-policy-security-rule-policy_sec_local_untrust] source-zone local
[FW-policy-security-rule-policy_sec_local_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.10 32
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.11 32
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.20 32
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.21 32
[FW-policy-security-rule-policy_sec_local_untrust] service tcp
[FW-policy-security-rule-policy_sec_local_untrust] action permit
[FW-policy-security-rule-policy_sec_local_untrust] quit

• 6.配置Trust到Untrust区域的安全策略，允许企业内网用户访问外网资源。假设内部用户网段为10.3.0.0/24。

[FW-policy-security] rule name policy_sec_trust_untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit