一、组网需求

       防火墙到电信和联通分别有一条链路,去往电信的ip,通过wan1口;去往网通的ip,通过wan2口。

       电信:wan1口 202.1.1.2/30,网关为202.1.1.1;  NAT地址池:   100.0.0.1-10

       联通:wan2口 202.1.1.6/30,网关为202.1.1.5;  NAT地址池:   200.0.0.1-10

       internal口:  内网

      

二、网络拓扑

       image.png

 

三、配置要点

       1、配置接口IP

       2、配置路由

       3、配置地址池

       4、配置策略

 

    注意事项:

    1、当前统计到的路由表条目:电信路由表条目为1800多条,网通为400多条,移动30条左右;

    2、当前的多线路不同运营商的部署方案,是将运营商路由按照静态路由的方式导入到设备设备,但由于中低端设备静态路由表项有限,无法按照本案例中的方式基于不同运营商做运营商选路,仅建议导入数量较少的运营商路由,或使用其他方案;

    3、对于高端设备,其静态路由表项空间相对充足,可使用本案例中方法进行部署;

 

四、操作步骤

       1、配置接口IP

            进入菜单:网络配置--接口配置--编辑wan1,配置IP及子网掩码:202.1.1.2/30:

            image.png

            进入菜单:网络配置--接口配置--编辑wan2,配置IP及子网掩码202.1.1.6/30:

            image.png

            配置结果如下:      

            image.png                                                              

       2、配置路由

            电信路由: 配置一条wan1口的默认路由

            联通路由: 参照附件内的路由表导入工具,为其配置明细路由(推荐)。

                             反之联通配置默认路由,电信配置明细路由亦可。

            菜单: 网络配置--静态路由,点击新建

            image.png

            按如下方式创建电信默认路由表:

            image.png

    目的的IP/子网掩码:   由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。

            设备: 该路由所关联的接口,wan1口,必须正确填写,否则该路由无法工作。

            网关: 下一跳ip地址, 即wan1口对端运营商设备接口的ip地址。

            路径长度:默认10 . 长度小的路由会被装入路由表。

            优先级:默认0.  优先级小的优先使用。

 

            参照路由表导入工具(操作方式详见表格说明),导入联通明细路由

    image.png

            

            3、配置地址池

            进入菜单:  对象配置---地址池映射对象,点击 新建按钮

            image.png

            分别创建2 个地址池:

            image.png

    名称:telcom100.0.0.1-10

            类型:超载,动态的从地址池中分配

            外部IP范围/子网:100.0.0.1-100.0.0.10

            地址解析协议回复:启用,ARP回应,如同发送免费ARP;

            image.png

    名称:unicom00.0.0.1-10

            类型:超载,动态的从地址池中分配

            外部IP范围/子网:200.0.0.1-200.0.0.10

            地址解析协议回复:启用,ARP回应,如同发送免费ARP。

       4、配置策略

        注意:为了响应国家对于安全的诸多要求,V5.2-R6.0版本默认不再有任何允许的安全策略,必须手工添加安全策略,否则会导致业务无法通过防火墙。

            配置2条策略,internal---wan1,   internal---wan2.

            进入: 策略配置--IPv4策略, 点击 "新建"

image.png


            按如下方式建立策略internal-wan1:

            image.png

             流入接口:internal

            源地址:lan  内部网络地址

            流出接口:wan1

            目的地址选择:  all,代表所有的地址。

            服务: any

            记录允许流量: 默认选择, 建议取消(正常数据包流量太大,会产生很多日志,且正常的日志没有记录意义)。

            NAT:  选择 启用NAT, 勾选 动态IP地址池,并选择相应的地址池 telecom100.0.0.1-10;

         

          按如下方式建立策略internal-wan2:

            image.png

            流入接口:internal

            源地址:lan  内部网络地址

            流出接口:wan2

            目的地址选择:  all,代表所有的地址。

            服务: any

            记录允许流量: 默认选择, 建议取消。

            NAT:  选择 启用NAT, 勾选 动态IP地址池,并选择相应的地址池 unicom200.0.0.1-10。

 

注意:启用记录允许流量(记录流日志)将会给系统带来额外的资源消耗,所以非必要情况下请不要启用记录日志。

                     image.png

5、配置ECMP负载均衡方式

            对于没有匹配静态路由的流量,将会匹配默认路由进行负载,需要在防火墙中进行设置,避免这部分流量全部走到其中一个出口导致出口阻塞。

            防火墙支持如下五种的链路均衡方式:

            image.png

            基于源ip: 根据源地址的不同该选择不同的路由。

            基于会话:根据应用程序会话选择不同的路由,通过特定线路传输每个应用程序会话数据。

            基于源、目标ip:  根据源地址和目的地址的不同选择不同的路由。

            权重负载均衡: 根据权重值来选择路由,本例使用该方式。

               比如wan1 50,  wan2   50,其他为0,则2条链路会1:1的比例分配流量。

               比如wan1 50,  wan2   100,则流量会按照1:2 的比例分配。

            溢出: 当一个链路流量超过某个阀值的时候,使用另外一条链路。

      

       注意:推荐采用基于源IP的负载均衡方式。因为例如网银、网游会进行源IP的验证,如果存在不同IP的多条流的交互,将会导致网银业务交互失败、游戏掉线等问题。


五、验证效果

         上网测试,通过tracert命令,检测路径是否正确。