隨著業務的不斷發展�����,企業通常會在網絡出口部署多條鏈路�����,以此提高出口鏈路的帶寬和可靠性�。這樣做雖然在一定程度上達到了預期效果����,但是由于出口設備在轉發流量時一般是隨機選擇一條鏈路轉發流量�����,并不考慮各條鏈路的實際帶寬或鏈路的實時狀態�����,因此在實際應用中會存在如下問題:
?如果各條鏈路的帶寬不等����,則很可能出現某些帶寬大的鏈路空閑����、某些帶寬小的鏈路擁塞的情況�,從而造成鏈路資源的浪費�。
?由于不同ISP鏈路的傳輸質量和服務費用不同���,有時用戶希望優先保證業務的傳輸質量�����,有時希望優先使用費用較低的鏈路��,而平分流量是無法實現這些需求的��。
?當出口設備與目的設備之間的鏈路出現故障或者目的設備上的服務不可用時���,如果流量被轉發到相應的鏈路上��,則將造成訪問失敗�����。
通過部署智能選路功能可以解決上述問題����。智能選路是指到達目的網絡有多條鏈路可選時�,FW通過不同的智能選路方式�,即根據鏈路帶寬����、權重����、優先級或者自動探測到的鏈路質量����,動態選擇最優鏈路�����,并根據各鏈路實時狀態動態調整分配結果����,以此提高鏈路資源的利用率和用戶體驗���。
01 智能選路的流程
02 配置案例
一����、配置案例-流量根據鏈路帶寬負載分擔
1���、配置思路
由于企業希望上網流量能夠根據帶寬比例進行分配���,所以智能選路的方式設置為根據鏈路帶寬負載分擔����。為了保證鏈路故障或過載時�,FW可以使用其他鏈路轉發流量���,還需要配置健康檢查功能和鏈路過載保護功能���。
1.可選:配置健康檢查功能���,分別為ISP1和ISP2鏈路配置健康檢查�。
2.配置接口的IP地址��、安全區域�����、網關地址�、帶寬和過載保護閾值����,并在接口上應用健康檢查�。
3.配置全局選路策略�。配置智能選路方式為根據鏈路帶寬負載分擔��,并指定FW和ISP1���、ISP2網絡直連的出接口作為智能選路成員接口�。
4.配置基本的安全策略����,允許企業內網用戶訪問外網資源��。
二�、配置過程
1可選:開啟健康檢查功能�,并為ISP1和ISP2鏈路分別新建一個健康檢查���。假設ISP1網絡的目的地址網段為3.3.10.0/24����,ISP2網絡的目的地址網段為9.9.20.0/24�����。
system-view
[FW] healthcheck enable
[FW] healthcheck name isp1_health
[FW-healthcheck-isp1_health] destination 3.3.10.10 interface GigabitEthernet
1/0/1 protocol tcp-simple destination-port 10001
[FW-healthcheck-isp1_health] destination 3.3.10.11 interface GigabitEthernet
1/0/1 protocol tcp-simple destination-port 10002
[FW-healthcheck-isp1_health] quit
[FW] healthcheck name isp2_health
[FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet
1/0/7 protocol tcp-simple destination-port 10003
[FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet
1/0/7 protocol tcp-simple destination-port 10004
[FW-healthcheck-isp2_health] quit
2�、配置接口的IP地址和網關地址����,配置接口所在鏈路的帶寬和過載保護閾值���,并應用對應的健康檢查��。
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1] gateway 1.1.1.254
[FW-GigabitEthernet1/0/1] bandwidth ingress 100000 threshold 95
[FW-GigabitEthernet1/0/1] bandwidth egress 100000 threshold 95
[FW-GigabitEthernet1/0/1] healthcheck isp1_health
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/7
[FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0
[FW-GigabitEthernet1/0/7] gateway 2.2.2.254
[FW-GigabitEthernet1/0/7] bandwidth ingress 50000 threshold 90
[FW-GigabitEthernet1/0/7] bandwidth egress 50000 threshold 90
[FW-GigabitEthernet1/0/7] healthcheck isp2_health
[FW-GigabitEthernet1/0/7] quit
3�����、配置全局選路策略���,流量根據鏈路帶寬負載分擔
[FW] multi-interface
[FW-multi-inter] mode proportion-of-bandwidth
[FW-multi-inter] add interface GigabitEthernet 1/0/1
[FW-multi-inter] add interface GigabitEthernet 1/0/7
[FW-multi-inter] quit
4���、將接口加入安全區域��。
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] add interface GigabitEthernet 1/0/7
[FW-zone-untrust] quit
18922156670
