隨著業(yè)務(wù)的不斷發(fā)展,企業(yè)通常會在網(wǎng)絡(luò)出口部署多條鏈路���,以此提高出口鏈路的帶寬和可靠性����。這樣做雖然在一定程度上達(dá)到了預(yù)期效果��,但是由于出口設(shè)備在轉(zhuǎn)發(fā)流量時一般是隨機(jī)選擇一條鏈路轉(zhuǎn)發(fā)流量����,并不考慮各條鏈路的實(shí)際帶寬或鏈路的實(shí)時狀態(tài),因此在實(shí)際應(yīng)用中會存在如下問題:
?如果各條鏈路的帶寬不等��,則很可能出現(xiàn)某些帶寬大的鏈路空閑���、某些帶寬小的鏈路擁塞的情況,從而造成鏈路資源的浪費(fèi)��。
?由于不同ISP鏈路的傳輸質(zhì)量和服務(wù)費(fèi)用不同�����,有時用戶希望優(yōu)先保證業(yè)務(wù)的傳輸質(zhì)量���,有時希望優(yōu)先使用費(fèi)用較低的鏈路����,而平分流量是無法實(shí)現(xiàn)這些需求的。
?當(dāng)出口設(shè)備與目的設(shè)備之間的鏈路出現(xiàn)故障或者目的設(shè)備上的服務(wù)不可用時�����,如果流量被轉(zhuǎn)發(fā)到相應(yīng)的鏈路上����,則將造成訪問失敗。
通過部署智能選路功能可以解決上述問題�����。智能選路是指到達(dá)目的網(wǎng)絡(luò)有多條鏈路可選時����,F(xiàn)W通過不同的智能選路方式,即根據(jù)鏈路帶寬����、權(quán)重、優(yōu)先級或者自動探測到的鏈路質(zhì)量�,動態(tài)選擇最優(yōu)鏈路�,并根據(jù)各鏈路實(shí)時狀態(tài)動態(tài)調(diào)整分配結(jié)果�,以此提高鏈路資源的利用率和用戶體驗(yàn)。
01 智能選路的流程
02 配置案例
一�����、配置案例-流量根據(jù)鏈路帶寬負(fù)載分擔(dān)
1��、配置思路
由于企業(yè)希望上網(wǎng)流量能夠根據(jù)帶寬比例進(jìn)行分配�,所以智能選路的方式設(shè)置為根據(jù)鏈路帶寬負(fù)載分擔(dān)。為了保證鏈路故障或過載時��,F(xiàn)W可以使用其他鏈路轉(zhuǎn)發(fā)流量���,還需要配置健康檢查功能和鏈路過載保護(hù)功能���。
1.可選:配置健康檢查功能,分別為ISP1和ISP2鏈路配置健康檢查����。
2.配置接口的IP地址����、安全區(qū)域、網(wǎng)關(guān)地址、帶寬和過載保護(hù)閾值��,并在接口上應(yīng)用健康檢查�。
3.配置全局選路策略。配置智能選路方式為根據(jù)鏈路帶寬負(fù)載分擔(dān)���,并指定FW和ISP1����、ISP2網(wǎng)絡(luò)直連的出接口作為智能選路成員接口��。
4.配置基本的安全策略��,允許企業(yè)內(nèi)網(wǎng)用戶訪問外網(wǎng)資源��。
二���、配置過程
1可選:開啟健康檢查功能�����,并為ISP1和ISP2鏈路分別新建一個健康檢查���。假設(shè)ISP1網(wǎng)絡(luò)的目的地址網(wǎng)段為3.3.10.0/24���,ISP2網(wǎng)絡(luò)的目的地址網(wǎng)段為9.9.20.0/24。
system-view
[FW] healthcheck enable
[FW] healthcheck name isp1_health
[FW-healthcheck-isp1_health] destination 3.3.10.10 interface GigabitEthernet
1/0/1 protocol tcp-simple destination-port 10001
[FW-healthcheck-isp1_health] destination 3.3.10.11 interface GigabitEthernet
1/0/1 protocol tcp-simple destination-port 10002
[FW-healthcheck-isp1_health] quit
[FW] healthcheck name isp2_health
[FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet
1/0/7 protocol tcp-simple destination-port 10003
[FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet
1/0/7 protocol tcp-simple destination-port 10004
[FW-healthcheck-isp2_health] quit
2����、配置接口的IP地址和網(wǎng)關(guān)地址,配置接口所在鏈路的帶寬和過載保護(hù)閾值���,并應(yīng)用對應(yīng)的健康檢查���。
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1] gateway 1.1.1.254
[FW-GigabitEthernet1/0/1] bandwidth ingress 100000 threshold 95
[FW-GigabitEthernet1/0/1] bandwidth egress 100000 threshold 95
[FW-GigabitEthernet1/0/1] healthcheck isp1_health
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/7
[FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0
[FW-GigabitEthernet1/0/7] gateway 2.2.2.254
[FW-GigabitEthernet1/0/7] bandwidth ingress 50000 threshold 90
[FW-GigabitEthernet1/0/7] bandwidth egress 50000 threshold 90
[FW-GigabitEthernet1/0/7] healthcheck isp2_health
[FW-GigabitEthernet1/0/7] quit
3、配置全局選路策略�����,流量根據(jù)鏈路帶寬負(fù)載分擔(dān)
[FW] multi-interface
[FW-multi-inter] mode proportion-of-bandwidth
[FW-multi-inter] add interface GigabitEthernet 1/0/1
[FW-multi-inter] add interface GigabitEthernet 1/0/7
[FW-multi-inter] quit
4���、將接口加入安全區(qū)域��。
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] add interface GigabitEthernet 1/0/7
[FW-zone-untrust] quit
