通過配置根據鏈路優先級主備備份,NGFW可以在主接口鏈路故障時,使用備份接口鏈路轉發流量,提高傳輸的可靠性。
組網需求
如圖1所示,企業從ISP1租用2條鏈路,帶寬均爲50M,從ISP2租用1條鏈路,帶寬爲10M。
· 企業希望優先使用ISP1的2條鏈路傳輸上網流量,只有當ISP1的2條鏈路均故障時,才使用ISP2鏈路。
· 企業的稅務申報業務優先使用ISP2鏈路,只有當ISP2鏈路故障時,才使用ISP1鏈路。
圖1 根據鏈路優先級主備備份組網圖
配置思路
由於企業希望優先使用ISP1鏈路,所以全局智能選路方式可以設置爲根據鏈路優先級主備備份,指定2條ISP1鏈路的優先級均爲2,ISP2鏈路的優先級爲1。而稅務申報業務需要優先使用ISP2鏈路,所以要針對稅務申報應用配置策略路由智能選路,選路方式也是根據鏈路優先級主備備份,並指定ISP2鏈路的優先級爲2,2條ISP1鏈路的優先級均爲1。爲了保證主接口鏈路故障時,NGFW可以使用備份接口鏈路轉發流量,還需要配置鏈路健康檢查功能。
1. 配置鏈路健康檢查功能。
分別爲ISP1和ISP2網絡配置一個鏈路健康檢查組,且ISP1的2條鏈路使用同一個檢查組。
2. 配置出接口。
配置接口的IP地址、網關、安全區域,並在接口上應用鏈路健康檢查組。
3. 配置全局選路策略。
配置智能選路方式爲根據鏈路優先級主備備份,接口GE1/0/0和GE1/0/1加入一個接口組ifgrp1,並和接口GE1/0/7一起作爲智能選路成員。分別爲接口組ifgrp1和接口GE1/0/7設置優先級,接口GE1/0/0和GE1/0/1的優先級等於接口組ifgrp1的優先級。
4. 配置策略路由智能選路。
爲稅務申報應用配置策略路由,智能選路方式爲根據鏈路優先級主備備份,分別爲接口組ifgrp1和接口GE1/0/7設置優先級。
操作步驟
1. 選擇“對象 > 鏈路健康檢查”。
2. 在“鏈路健康檢查列表”區域單擊“新建”,爲ISP1鏈路新建一個鏈路健康檢查組,具體參數配置如下:
說明:
待探測目的IP需要爲路由可達的地址。
3. 單擊“確定”。
4. 再次單擊“新建”,爲ISP2鏈路新建一個鏈路健康檢查組,具體參數配置如下:
5. 單擊“確定”。
6. 選擇“網絡 > 接口”。
7. 單擊接口GE1/0/0對應的,完成接口基礎配置,並在接口上應用鏈路健康檢查組,具體參數配置如下:
8. 單擊“確定”。
9. 單擊接口GE1/0/1對應的,完成接口基礎配置,並在接口上應用鏈路健康檢查組,具體參數配置如下:
10. 單擊“確定”。
11. 單擊接口GE1/0/7對應的,完成接口基礎配置,並在接口上應用鏈路健康檢查組,具體參數配置如下:
12. 單擊“確定”。
13. 單擊接口GE1/0/3對應的,配置接口的IP地址和安全區域,具體參數配置如下:
14. 單擊“確定”。
15. 選擇“網絡 > 路由 > 智能選路”。
16. 選擇進入“接口組”頁籤,單擊“新建”,將接口GE1/0/0和GE1/0/1加入接口組ifgrp1,具體參數配置如下:
17. 單擊“確定”。
18. 選擇進入“全局選路策略”頁籤,單擊“配置”,按如下參數配置全局選路策略。
19. 單擊“確定”。
20. 選擇進入“策略路由”頁籤,單擊“新建”,按如下參數配置策略路由。其中,“UD_tax_system”爲自定義應用,對應稅務申報應用。自定義應用的配置方法請參考配置自定義應用,此處不詳細介紹。
21. 單擊“確定”。
結果驗證
選擇“網絡 > 路由 > 智能選路”,在“全局選路策略”頁簽下可以看到各鏈路的健康狀態和5分鐘內的流量統計,如圖2所示。
圖2 查看全局選路策略
選擇“網絡 > 路由 > 智能選路”,在“策略路由”頁簽下可以看到已配置的策略路由,如圖3所示。
圖3 查看策略路由
配置腳本
#
interface GigabitEthernet1/0/0
ip address 1.1.1.1 255.255.255.0
gateway 1.1.1.254
healthcheck link-group isp1_health
#
interface GigabitEthernet1/0/1
ip address 1.1.2.2 255.255.255.0
gateway 1.1.2.254
healthcheck link-group isp1_health
#
interface GigabitEthernet1/0/7
ip address 2.2.2.2 255.255.255.0
gateway 2.2.2.254
healthcheck link-group isp2_health
#
interface GigabitEthernet1/0/3
ip address 10.3.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1
add interface GigabitEthernet1/0/7
#
interface-group name ifgrp1
interface-group ifgrp1 interface GigabitEthernet1/0/0
interface-group ifgrp1 interface GigabitEthernet1/0/1
#
policy-based-route
rule name tax_system
ingress-interface GigabitEthernet1/0/3
application app UD_tax_system
action pbr egress-interface multi-interface
add interface-group ifgrp1
add interface GigabitEthernet1/0/7 priority 2
mode priority-of-userdefine
#
multi-interface
add interface-group ifgrp1 priority 2
add interface GigabitEthernet1/0/7
mode priority-of-userdefine
#
healthcheck link-group 1 isp1_health
destination 3.3.10.10 protocol TCP destination-port 10001
destination 3.3.10.11 protocol TCP destination-port 10002
healthcheck link-group 2 isp2_health
destination 9.9.20.20 protocol TCP destination-port 10003
destination 9.9.20.21 protocol TCP destination-port 10004
#
return