故障解决之在防火墙上实现链路负载

一、网络拓扑

二、基本配置

1、职场的网关是Juniper的EX4200,配置有vlan524 :10.63.224.0/24和vlan525 :10.63.225.0/24。配置默认路由下一跳指向防火墙。

2、在防火墙SSG550-1上连接两条互联网专线(电信、移动),配置了两条默认路由下一跳分别指向运营商。如下图:


 

wKiom1R4YfHw-e-OAACLbw_TWCk738.jpg

3、在防火墙上配置回指路由。


4、在防火墙上设置224网段通过电信专线访问互联网,225网段通过移动专线访问互联网。


故障解决之在防火墙上实现ECMP功能_第1张图片


5、添加防火墙策略

故障解决之在防火墙上实现ECMP功能_第2张图片


二、故障现象


1、225网段有时候能通过移动专线访问互联网,有时候不能通过移动专线访问互联网。

2、在防火墙上trace 外网地址219.142.1.170,结果是通过电信专线出去。

如下图:

故障解决之在防火墙上实现ECMP功能_第3张图片


三、解决

1、通过分析发现,是没有在防火墙上启用ECMP功能,导致流量不能在两条线上同时传输。


故障解决之在防火墙上实现ECMP功能_第4张图片



故障解决之在防火墙上实现ECMP功能_第5张图片

四、结论

1、经验证,问题已经解决。

故障解决之在防火墙上实现ECMP功能_第6张图片