F100-M-G3
- 0關注
- 0收藏,2848瀏覽
問題描述:
防火牆是否可以基於運營商做不固定地址的負載均衡,比如有9wan口,8哥不固定ip地址,同一運營商,有案例提供一下,感謝
組網及組網描述:
- 2022-09-25提問
- 舉報
-
(0)
最佳答案
參考看看:
V7防火牆多WAN鏈路負載均衡配置方法(命令行)
2 目錄
1
5.5.4 建立財務負載規則匹配172.16.0.0財務網段... 7
本案例適用於軟件平台為Comware V7係列防火牆:F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。
某公司為達到業務流量快速轉發和鏈路冗餘需求申請了三條不同運營商的外網線路,需要實現如下需求:
1)要求內網用戶訪問目的地址為移動鏈路數據從移動鏈路轉發、訪問目的地址為聯通鏈路數據從聯通鏈路轉發、訪問目的地址為電信鏈路數據從電信鏈路轉發需求。
2)財務部門因為經常訪問網銀等支付平台,目前不希望出口IP地址經常變化。指定財務數據從電信轉發並希望當電信流量負載到帶寬的90%後,後麵流量負載到聯通鏈路上。
說明:
|
ISP |
外網接口 |
公網地址/掩碼 |
公網網關 |
|
移動 |
1/0/3 |
218.200.5.8/24 |
218.200.5.9 |
|
聯通 |
1/0/2 |
14.204.0.2/24 |
14.204.0.1 |
|
電信 |
1/0/1 |
202.90.112.2/24 |
202.90.112.1 |
5.1 創建NQA探測組用於鏈路探測
探測組名稱為nqa,描述為test。用於檢測鏈路健康性。
<H3C>system //進入係統視圖
[H3C]nqa template icmp nqa //探測組名稱為nqa
[H3C-nqatplt-icmp-nqa]description test //描述為test
[H3C-nqatplt-icmp-nqa]reaction trigger per-probe //配置per-probe類型探測
[H3C-nqatplt-icmp-nqa]quit //退出當前視圖
配置電信鏈路接口地址,並開啟保存上一跳功能。
[H3C]interface GigabitEthernet1/0/1 //進入1口
[H3C-GigabitEthernet1/0/1]ip address 202.90.112.2 255.255.255.0 //配置地址 掩碼
[H3C-GigabitEthernet1/0/1]ip last-hop hold //開啟保存上一跳
[H3C-GigabitEthernet1/0/1]nat outbound //開啟出方向nat轉換
[H3C-GigabitEthernet1/0/1]quit //退出當前視圖
配置聯通鏈路接口地址,並開啟保存上一跳功能。
[H3C]interface GigabitEthernet1/0/2 //和上述說明完全一致
[H3C-GigabitEthernet1/0/2]ip address 14.204.0.2 255.255.255.0
[H3C-GigabitEthernet1/0/2]ip last-hop hold
[H3C-GigabitEthernet1/0/2]nat outbound
[H3C-GigabitEthernet1/0/2]quit
配置移動鏈路接口地址,並開啟保存上一跳功能。
[H3C]interface GigabitEthernet1/0/3 //和上述說明完全一致
[H3C-GigabitEthernet1/0/3]ip address 218.200.5.8 255.255.255.0
[H3C-GigabitEthernet1/0/3]ip last-hop hold
[H3C-GigabitEthernet1/0/3]nat outbound
[H3C-GigabitEthernet1/0/3]quit
將外網接口加入不信任區域
[H3C]security-zone name Untrust //進入安全域Untrust
[H3C-security-zone-Untrust]import interface Dialer1 //添加接口Dialer1
[H3C-security-zone-Untrust]import interface GigabitEthernet1/0/1 //添加接口GigabitEthernet1/0/1
[H3C-security-zone-Untrust]import interface GigabitEthernet1/0/2 //添加接口GigabitEthernet1/0/2
[H3C-security-zone-Untrust]import interface GigabitEthernet1/0/3 //添加接口GigabitEthernet1/0/3
[H3C-security-zone-Untrust]quit //退出當前視圖
創建對象策略pass,因為本章內容主要介紹負載均衡,域間策略采用最簡配置請見諒。
[H3C]object-policy ip pass //創建對象策略pass
[H3C-object-policy-ip-pass] rule 0 pass //規則0允許
[H3C-object-policy-ip-pass]quit //退出當前視圖
創建any到any域的域間策略調用pass策略。
[H3C]zone-pair security source any destination any //創建any到any域的域間策略
[H3C-zone-pair-security- Any-Any]object-policy apply ip pass //調用pass策略
[H3C-zone-pair-security- Any-Any]quit //退出當前視圖
設置路由防止在負載均衡配置前或者負載均衡失效後網絡不通問題
[H3C]ip route-static 0.0.0.0 0 218.200.5.9 preference 80 //配置缺省靜態路由,優先級為80 (優先級數值越高,優先級越低)
[H3C]ip route-static 0.0.0.0 0 14.204.0.1 preference 70 //配置缺省靜態路由,優先級為70
[H3C]ip route-static 0.0.0.0 0 202.90.112.1 //配置缺省靜態路由,優先級為60
設置鏈路失敗的reschedule:重定向連接,即把連接重定向到鏈路組中其它可用的鏈路上。並使用transparent enable關閉鏈路組本身的NAT功能並綁定nqa探測組。
[H3C]loadbalance link-group cmcc //新建移動鏈路組cmcc
[H3C-lb-lgroup-cmcc]fail-action reschedule //配置鏈路故障處理方式為重定向連接
[H3C-lb-lgroup-cmcc]transparent enable //關閉Nat功能
[H3C-lb-lgroup-cmcc]probe nqa //調用健康性檢測nqa
[H3C-lb-lgroup-cmcc]quit //退出當前視圖
[H3C]loadbalance link-group cnc //和上述說明完全一致
[H3C-lb-lgroup-cnc]fail-action reschedule
[H3C-lb-lgroup-cnc]transparent enable
[H3C-lb-lgroup-cnc]probe nqa.
[H3C-lb-lgroup-cnc]quit
[H3C]loadbalance link-group china-isp //和上述說明完全一致
[H3C-lb-lgroup-china-isp]fail-action reschedule
[H3C-lb-lgroup-china-isp]transparent enable
[H3C-lb-lgroup-china-isp]probe nqa
[H3C-lb-lgroup-china-isp]quit
[H3C]loadbalance link-group caiwu //和上述說明完全一致
[H3C-lb-lgroup-caiwu]fail-action reschedule
[H3C-lb-lgroup-caiwu]transparent enable
[H3C-lb-lgroup-caiwu]probe nqa
[H3C-lb-lgroup-caiwu]quit
router ip指鏈路的網關地址,將鏈路綁定鏈路組後該鏈路才能生效。
[H3C]loadbalance link cmcc-link //新建鏈路cmcc-link
[H3C-lb-link-cmcc-link]router ip 218.200.5.9 // router ip指鏈路的網關地址
[H3C-lb-link-cmcc-link]link-group cmcc //綁定上一步創建的鏈路組
[H3C-lb-link-cmcc-link]probe nqa //調用健康性檢測nqa
[H3C-lb-link-cmcc-link]quit //退出當前視圖
[H3C]loadbalance link cnc-link //和上述說明一致
[H3C-lb-link-cnc-link]router ip 14.204.0.1
[H3C-lb-link-cnc-link]link-group cnc
[H3C-lb-link-cnc-link]probe nqa
[H3C-lb-link-cnc-link]quit
將電信鏈路帶寬調整為100M,設置帶寬繁忙比當帶寬利用率超過90%*100M=90M,新建session會負載到其他鏈路。
[H3C]loadbalance link chinanet-link //新建鏈路chinanet-link
[H3C-lb-link-cnc-chinanet-link]router ip 202.90.112.1 // router ip指鏈路的網關地址
[H3C-lb-link-cnc-chinanet-link]link-group china-isp //綁定上一步創建的鏈路組
[H3C-lb-link-cnc-chinanet-link]probe nqa //調用健康性檢測nqa
[H3C-lb-link-cnc-chinanet-link]max-bandwidth outbound 102400 //設置鏈路出方向最大帶寬值
[H3C-lb-link-cnc-chinanet-link]bandwidth outbound busy-rate 90 //設置帶寬繁忙比90%
[H3C-lb-link-cnc-chinanet-link]quit //退出當前視圖
[H3C]loadbalance link link-caiwu //新建鏈路
[H3C-lb-link- link-caiwu] router ip 202.90.112.1 // router ip指鏈路的網關地址
[H3C-lb-link- link-caiwu] link-group caiwu //綁定上一步創建的鏈路組
[H3C-lb-link- link-caiwu]quit //退出當前視圖
[H3C]loadbalance class cmcc type link-generic match-any //建立移動負載類 類型match-any代表匹配任何一條即可
[H3C-lbc-link-generic-cmcc]match 1 isp cmcc //匹配移動數據
[H3C-lbc-link-generic-cmcc]quit //退出當前視圖
[H3C]loadbalance class cnc type link-generic match-any //與上述說明一致
[H3C-lbc-link-generic-cnc]match 1 isp cnc
[H3C-lbc-link-generic-cnc]quit
[H3C]loadbalance class chinanet type link-generic match-any //與上述說明一致
[H3C-lbc-link-generic-chinanet]match 1 isp chinatel
[H3C-lbc-link-generic-chinanet]quit
5.5.4 建立財務負載規則匹配172.16.0.0財務網段
[H3C] loadbalance class caiwu type link-generic match-any //建立財務負載規則 類型match-any代表匹配任何一條即可
[H3C-lbc-link-generic-caiwu]match 1 source ip address 172.16.0.0 24 //匹配172.16.0.0財務網段
[H3C-lbc-link-generic-caiwu]quit //退出當前視圖
配置負載行為綁定各鏈路組,設置轉發失敗規則為繼續匹配。
[H3C]loadbalance action cmcc type link-generic //建立移動負載均衡行為,類型為鏈路類型
[H3C-lbc-link-generic- cmcc]link-group cmcc //匹配移動鏈路組
[H3C-lbc-link-generic- cmcc]fallback-action continue //配置負載均衡匹配失敗後繼續匹配下一條規則
[H3C-lbc-link-generic- cmcc]quit //退出當前視圖
[H3C]loadbalance action cnc type link-generic //與上述說明一致
[H3C-lbc-link-generic-cnc]link-group cnc
[H3C-lbc-link-generic-cnc]fallback-action continue
[H3C-lbc-link-generic-cnc]quit
[H3C]loadbalance action chinanet type link-generic //與上述說明一致
[H3C-lbc-link-generic-chinanet]link-group china-isp
[H3C-lbc-link-generic-chinanet]fallback-action continue
[H3C-lbc-link-generic-chinanet]quit
[H3C]loadbalance action caiwu type link-generic //與上述說明一致
[H3C-lbc-link-generic-caiwu]link-group caiwu
[H3C-lbc-link-generic-caiwu]fallback-action continue
[H3C-lbc-link-generic-caiwu]quit
負載均衡策略嚴格按照配置順序進行匹配,如果需要財務數據優先匹配需要將優先配置。
[H3C]loadbalance policy 1 type link-generic //創建負載均衡策略
[H3C-lbp-link-generic-1]class caiwu action caiwu //為負載均衡類caiwu指定負載均衡動作為caiwu
[H3C-lbp-link-generic-1]class chinanet action chinanet //為負載均衡類指定負載均衡動作
[H3C-lbp-link-generic-1]class cmcc action cmcc //為負載均衡類指定負載均衡動作
[H3C-lbp-link-generic-1]class cnc action cnc //為負載均衡類指定負載均衡動作
配置LB虛服務,虛服務地址為0.0.0.0/0表示內網訪問所有的數據將會匹配虛服務進行轉發,lb策略調用之前創建的策略1,如果無法匹配運營商的數據缺省從移動轉發。
[H3C]virtual-server outbound type link-ip //創建LB虛服務,名稱outbound,類型ink-ip
[H3C-vs-link-ip-outbound]virtual ip address 0.0.0.0 0 //虛服務地址為0.0.0.0/0表示內網訪問所有的數據將會匹配虛服務進行轉發
[H3C-vs-link-ip-outbound]lb-policy 1 //lb策略調用之前創建的策略1
[H3C-vs-link-ip-outbound]default link-group cmcc //指定缺省鏈路組為cmcc移動
[H3C-vs-link-ip-outbound]service enable //開啟虛服務
[H3C-vs-link-ip-outbound]quit //退出當前視圖
[H3C]quit //退出當前視圖
<H3C>save force //保存
在內網找一台地址為192.168.0.2的電腦,訪問外網一個地址看是從哪個接口出?用來
判斷ISP路由是否配置正確?將外網模擬設備的IP地址修改為1.4.1.1進行測試。
設備內置的電信路由表:
Teacert結果:
防火牆會話:
查看數據是否從對應鏈路組轉發。
在內網找一台地址為192.168.0.2的電腦,訪問外網一個地址看是從哪個接口出?用來
判斷ISP路由是否配置正確?將外網模擬設備的IP地址修改為27.50.128.1進行測試。
設備內置的聯通路由表:
Teacert結果:
防火牆會話:
.
在內網找一台地址為192.168.0.2的電腦,訪問外網一個地址看是從哪個接口出?用來
判斷ISP路由是否配置正確?將外網模擬設備的IP地址修改為43.251.244.1進行測試。
設備內置的移動路由表:
Teacert結果:
防火牆會話:
測試結果符合需求預期,可以達到數據的準確轉發。
- 2022-09-25回答
- 評論(0)
- 舉報
-
(0)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論