在企业网络环境中,存在多条互联网出口线路,经常出现某一条线路接口带宽占满,另外一条线路经常空闲状态,从而导致网络时延过高,带宽利用率低,业务运行无法得到保障,严重影响办公人员工作效率和用户带来的投诉。因此,需要一种技术手段解决互联网多出口带宽利用率的问题。
![深信服防火墙AF策略路由如何配置?]( "深信服防火墙AF策略路由如何配置?")
为保障出接口多条线路时,根据源/目的IP、源/目的端口、协议等条件进行出接口和线路选择,以实现不同的数据走不同的外网线路的自动选路功能。
![深信服防火墙AF策略路由如何配置?]( "深信服防火墙AF策略路由如何配置?")
存在多条线路出口情况下,根据源/目IP,端口、协议、应用来定义匹配条件,对于匹配上的流量根据选择指定线路的出口或下一跳,比如多运营商选路场景;
存在多条线路出口情况下,根据源/目IP,端口、协议、应用来定义匹配条件,对出接口选择轮询、带宽比例、加权最小流量、优先使用前面的线路策略,进行动态选择线路,实现线路带宽的有效利用和负载均衡。
加权最小流量:通过比较当前线路流量与线路带宽的比值,选择最小的线路优先分配连接。
优先使用前面的线路:用于线路需要做主备的场景,则所有连接均分配到第一条线路,如果第一条线路故障,才把连接切换到第二条选择的可用线路。
客户互联网出口存在多条线路情况,如电信、联通、移动等,需要访问电信资源则从电信出口访问,以减少跨运营商带来的时延和提高访问速度。
客户互联网出口存在多条线路情况,大多数存在某条链路带宽使用率过高,为了平衡带宽压力,提高带宽利用率,防止网络出口存在堵塞现象,需要对出接口流量进行负载分担到每个接口。
某客户网络需要访问互联网,安装了电信、联通线路来实现线路冗余,现要求在AF上做负载,同时需要满足以下需求:
2)访问非电信和联通资源,按当前带宽繁忙程度自动线路;
3)两条线路冗余备份,任意一条故障,线路可以自动切换。
![深信服防火墙AF策略路由如何配置?]( "深信服防火墙AF策略路由如何配置?")
配置步骤:
1)配置访问电信资源走电信线路出口;
2)配置访问联通资源走联通线路出口;
3)配置访问非电信和联通资源,按当前带宽繁忙程度自动选路;
4)配置两条冗余线路,任意一条故障,线路可以自动切换。
1)配置访问电信资源走电信线路出口,在【网络】-【路由】-【策略路由】,点击新增,选择源地址策略路由;
![深信服防火墙AF策略路由如何配置?]( "深信服防火墙AF策略路由如何配置?")
![深信服防火墙AF策略路由如何配置?]( "深信服防火墙AF策略路由如何配置?")
2)配置访问联通资源走联通线路出口,在【网络】-【路由】-【策略路由】,点击新增,选择源地址策略路由;
![深信服防火墙AF策略路由如何配置?]( "深信服防火墙AF策略路由如何配置?")
![深信服防火墙AF策略路由如何配置?]( "深信服防火墙AF策略路由如何配置?")
3)配置访问非电信和联通资源,按当前带宽繁忙程度自动选路,在【网络】-【路由】-【策略路由】,点击新增,选择多线路负载路由;
![深信服防火墙AF策略路由如何配置?]( "深信服防火墙AF策略路由如何配置?")
4)因为配置了链路状态检测功能,所以当一条链路故障时,可以进行切换。但是需要注意策略路由的匹配顺序(从上往下匹配),因此需要把多链路负载路由下移到最后,防止优先匹配。
![深信服防火墙AF策略路由如何配置?]( "深信服防火墙AF策略路由如何配置?")
1)存在策略路由的情况下,配置默认路的目的是为了防止策略路由模块失效影响客户网络;
2)源地址策略路由和多线路负载路由都需要设置链路故障检测,否则无法实现链路切换,源地址策略路由是单独设置,而多链路负载路由是调用接口的链路检测;
3)策略路由匹配顺序为从上往下匹配,一旦匹配到则不再向下匹配;
原文始发于微信公众号(老五说网络):深信服防火墙AF策略路由如何配置?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2632810.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论