USG6000系列根據鏈路優先級主備備份

通過配置根據鏈路優先級主備備份，NGFW可以在主接口鏈路故障時，使用備份接口鏈路轉發流量，提高傳輸的可靠性。

組網需求

如圖1所示，企業從ISP1租用2條鏈路，帶寬均爲50M，從ISP2租用1條鏈路，帶寬爲10M。

·     企業希望優先使用ISP1的2條鏈路傳輸上網流量，只有當ISP1的2條鏈路均故障時，才使用ISP2鏈路。

·     企業的稅務申報業務優先使用ISP2鏈路，只有當ISP2鏈路故障時，才使用ISP1鏈路。

圖1 根據鏈路優先級主備備份組網圖

配置思路

由於企業希望優先使用ISP1鏈路，所以全局智能選路方式可以設置爲根據鏈路優先級主備備份，指定2條ISP1鏈路的優先級均爲2，ISP2鏈路的優先級爲1。而稅務申報業務需要優先使用ISP2鏈路，所以要針對稅務申報應用配置策略路由智能選路，選路方式也是根據鏈路優先級主備備份，並指定ISP2鏈路的優先級爲2，2條ISP1鏈路的優先級均爲1。爲了保證主接口鏈路故障時，NGFW可以使用備份接口鏈路轉發流量，還需要配置鏈路健康檢查功能。

1.  配置鏈路健康檢查功能。

分別爲ISP1和ISP2網絡配置一個鏈路健康檢查組，且ISP1的2條鏈路使用同一個檢查組。

2.  配置出接口。

配置接口的IP地址、網關、安全區域，並在接口上應用鏈路健康檢查組。

3.  配置全局選路策略。

配置智能選路方式爲根據鏈路優先級主備備份，接口GE1/0/0和GE1/0/1加入一個接口組ifgrp1，並和接口GE1/0/7一起作爲智能選路成員。分別爲接口組ifgrp1和接口GE1/0/7設置優先級，接口GE1/0/0和GE1/0/1的優先級等於接口組ifgrp1的優先級。

4.  配置策略路由智能選路。

爲稅務申報應用配置策略路由，智能選路方式爲根據鏈路優先級主備備份，分別爲接口組ifgrp1和接口GE1/0/7設置優先級。

操作步驟

1.  選擇“對象 > 鏈路健康檢查”。

2.  在“鏈路健康檢查列表”區域單擊“新建”，爲ISP1鏈路新建一個鏈路健康檢查組，具體參數配置如下：

說明：

待探測目的IP需要爲路由可達的地址。

3.  單擊“確定”。

4.  再次單擊“新建”，爲ISP2鏈路新建一個鏈路健康檢查組，具體參數配置如下：

5.  單擊“確定”。

6.  選擇“網絡 > 接口”。

7.  單擊接口GE1/0/0對應的，完成接口基礎配置，並在接口上應用鏈路健康檢查組，具體參數配置如下：

8.  單擊“確定”。

9.  單擊接口GE1/0/1對應的，完成接口基礎配置，並在接口上應用鏈路健康檢查組，具體參數配置如下：

10. 單擊“確定”。

11. 單擊接口GE1/0/7對應的，完成接口基礎配置，並在接口上應用鏈路健康檢查組，具體參數配置如下：

12. 單擊“確定”。

13. 單擊接口GE1/0/3對應的，配置接口的IP地址和安全區域，具體參數配置如下：

14. 單擊“確定”。

15. 選擇“網絡 > 路由 > 智能選路”。

16. 選擇進入“接口組”頁籤，單擊“新建”，將接口GE1/0/0和GE1/0/1加入接口組ifgrp1，具體參數配置如下：

17. 單擊“確定”。

18. 選擇進入“全局選路策略”頁籤，單擊“配置”，按如下參數配置全局選路策略。

19. 單擊“確定”。

20. 選擇進入“策略路由”頁籤，單擊“新建”，按如下參數配置策略路由。其中，“UD_tax_system”爲自定義應用，對應稅務申報應用。自定義應用的配置方法請參考配置自定義應用，此處不詳細介紹。

21. 單擊“確定”。

結果驗證

選擇“網絡 > 路由 > 智能選路”，在“全局選路策略”頁簽下可以看到各鏈路的健康狀態和5分鐘內的流量統計，如圖2所示。

圖2 查看全局選路策略

選擇“網絡 > 路由 > 智能選路”，在“策略路由”頁簽下可以看到已配置的策略路由，如圖3所示。

圖3 查看策略路由

配置腳本

#

interface GigabitEthernet1/0/0

 ip address 1.1.1.1 255.255.255.0

 gateway 1.1.1.254

 healthcheck link-group isp1_health

#

interface GigabitEthernet1/0/1

 ip address 1.1.2.2 255.255.255.0

 gateway 1.1.2.254

 healthcheck link-group isp1_health

#

interface GigabitEthernet1/0/7

 ip address 2.2.2.2 255.255.255.0

 gateway 2.2.2.254

 healthcheck link-group isp2_health

#

interface GigabitEthernet1/0/3

 ip address 10.3.0.1 255.255.255.0

#

 firewall zone trust

  set priority 85

  add interface GigabitEthernet1/0/3

#

 firewall zone untrust

  set priority 5

  add interface GigabitEthernet1/0/0

  add interface GigabitEthernet1/0/1

  add interface GigabitEthernet1/0/7

#

 interface-group name ifgrp1

 interface-group ifgrp1 interface GigabitEthernet1/0/0

 interface-group ifgrp1 interface GigabitEthernet1/0/1

#

policy-based-route

 rule name tax_system

  ingress-interface GigabitEthernet1/0/3

  application app UD_tax_system

  action pbr egress-interface multi-interface

   add interface-group ifgrp1

   add interface GigabitEthernet1/0/7 priority 2

   mode priority-of-userdefine

#

 multi-interface

  add interface-group ifgrp1 priority 2

  add interface GigabitEthernet1/0/7

  mode priority-of-userdefine

#

healthcheck link-group 1 isp1_health

 destination 3.3.10.10 protocol TCP destination-port 10001

 destination 3.3.10.11 protocol TCP destination-port 10002

healthcheck link-group 2 isp2_health

 destination 9.9.20.20 protocol TCP destination-port 10003

 destination 9.9.20.21 protocol TCP destination-port 10004

#

return