分公司因項目需要,上線一臺華爲的防火牆,爲了保障互聯網出口的可用性,使用了兩條SP鏈路,一條聯通50M企業專線,一條電信200M撥號鏈路。項目的需求是:
1. 連接到總部的×××流量,優先使用聯通線路;
2. 用戶上網的流量,優先使用電信線路;
3. 當一條公網鏈路出現故障時,能自動進行切換。
需求出來後,就需要進行實施了,怎麼實現需求呢:
1. 需置兩條鏈路都要能上網
2. 配置健康狀態檢查,當檢測到一條鏈路斷開,就不會使用這條鏈路轉發流量
3. 做策略路由,使用根據鏈路優先級主備模式的數據轉發模式
接口配置:g1/0/0 聯通專線,靜態公網IP,另外配置了一個地址池; g1/0/1,電信撥號鏈路,使用Easy IP的NAT方式; g1/0/2,內網接口
安全區域:g1/0/0和g1/0/1都配置在untrust區域,LAN口配置在Trust區域
一、 配置上網,包括安全策略、NAT策略和默認路由
1. 接口配置:配置公網接口和內網接口的IP地址及選擇相應的健康狀態檢查,第一步需要注意的就是,對上行的公網接口,需要選定健康狀態檢查的選項。
g1/0/0
g1/0/1
2. 安全策略:對於從untrust到trust的所有流量,動作爲permit。
3. NAT策略,需要兩條
A. 一條是出接口爲聯通的,轉換爲addressgroup1中的地址。這個地址,在WEB界面,我只發現了在選擇地址池那裏新建,沒有看到別的位置。命令行可以進行配置
nat address-group addressgroup1 0
mode pat
route enable
section 0 58.241.X.X 58.241.X.X
3. 默認路由和回包路由
寫兩條默認路由,分別指向電信和聯通,由於電信是PPPOE撥號的,所以直接寫成出接口Dialer0
二、 對上行的SP鏈路進行健康檢查
這一步,應該放到最前面,並在接口下進行引用
鏈路健康狀態的檢查,實際上就是FW使用公網接口,每隔指定的時間(5秒),對目的地址進行連通性測試,如果測試失敗,則認爲這條上行鏈路斷開,在使用策略路由後,會進行鏈路的切換
被測試的地址,如果你的鏈路是固定的公網IP,可以指定爲網關,如果是撥號鏈路,可以指定爲SP的一DNS地址。
三、配置策略路由,使用主備式的多出口方法,通過優先級來實現選路
由於我們的需求是將×××流量和普通上網流量進行區分,所以我這邊的多出口選項,選用的是根據鏈路優先級進行主備備份的方式轉發數據包。對於兩條SP鏈路,你想使用哪一條轉發,則將該接口的優先級調大。
1. ×××流量優先走聯通(由於我們使用的×××是單臂模式進行部署的,所以我們的×××流量總是以×××設備爲源地址轉發到目的地址的。當然,這個流量也可以使用目的IP爲對端的公網IP或者協議的端口號進行識別,此處需要了解IPSec ×××的數據包封裝的知識)
2. 上網流量,優先走電信
接下來可以進行測試了,在我的真實環境中,智能選路結果如下:
1. 對於上網的流量,丟包在0~2個,用戶基本無感知
2. 對於IPSec ×××的流量,由於聯通鏈路中斷,會丟失×××連接,需要進行重新連接,斷網在20秒左右
這樣,就實現了我們的高可用需求。任意一條公網鏈路down掉,都不會影響用戶使用網絡辦公。對於智能選路的方式,還有根據帶寬比例負載等,這些可以根據大家的需求使用。
附華爲USG6000系列FW的手冊,更多內容可以參考手冊。