通过配置根据链路优先级主备备份,NGFW可以在主接口链路故障时,使用备份接口链路转发流量,提高传输的可靠性。
组网需求
如图1所示,企业从ISP1租用2条链路,带宽均为50M,从ISP2租用1条链路,带宽为10M。
· 企业希望优先使用ISP1的2条链路传输上网流量,只有当ISP1的2条链路均故障时,才使用ISP2链路。
· 企业的税务申报业务优先使用ISP2链路,只有当ISP2链路故障时,才使用ISP1链路。
配置思路
由于企业希望优先使用ISP1链路,所以全局智能选路方式可以设置为根据链路优先级主备备份,指定2条ISP1链路的优先级均为2,ISP2链路的优先级为1。而税务申报业务需要优先使用ISP2链路,所以要针对税务申报应用配置策略路由智能选路,选路方式也是根据链路优先级主备备份,并指定ISP2链路的优先级为2,2条ISP1链路的优先级均为1。为了保证主接口链路故障时,NGFW可以使用备份接口链路转发流量,还需要配置链路健康检查功能。
1. 配置链路健康检查功能。
分别为ISP1和ISP2网络配置一个链路健康检查组,且ISP1的2条链路使用同一个检查组。
2. 配置出接口。
配置接口的IP地址、网关、安全区域,并在接口上应用链路健康检查组。
3. 配置全局选路策略。
配置智能选路方式为根据链路优先级主备备份,接口GE1/0/0和GE1/0/1加入一个接口组ifgrp1,并和接口GE1/0/7一起作为智能选路成员。分别为接口组ifgrp1和接口GE1/0/7设置优先级,接口GE1/0/0和GE1/0/1的优先级等于接口组ifgrp1的优先级。
4. 配置策略路由智能选路。
为税务申报应用配置策略路由,智能选路方式为根据链路优先级主备备份,分别为接口组ifgrp1和接口GE1/0/7设置优先级。
操作步骤
1. 选择“对象 > 链路健康检查”。
2. 在“链路健康检查列表”区域单击“新建”,为ISP1链路新建一个链路健康检查组,具体参数配置如下:
说明:
待探测目的IP需要为路由可达的地址。
3. 单击“确定”。
4. 再次单击“新建”,为ISP2链路新建一个链路健康检查组,具体参数配置如下:
5. 单击“确定”。
6. 选择“网络 > 接口”。
7. 单击接口GE1/0/0对应的,完成接口基础配置,并在接口上应用链路健康检查组,具体参数配置如下:
8. 单击“确定”。
9. 单击接口GE1/0/1对应的,完成接口基础配置,并在接口上应用链路健康检查组,具体参数配置如下:
10. 单击“确定”。
11. 单击接口GE1/0/7对应的,完成接口基础配置,并在接口上应用链路健康检查组,具体参数配置如下:
12. 单击“确定”。
13. 单击接口GE1/0/3对应的,配置接口的IP地址和安全区域,具体参数配置如下:
14. 单击“确定”。
15. 选择“网络 > 路由 > 智能选路”。
16. 选择进入“接口组”页签,单击“新建”,将接口GE1/0/0和GE1/0/1加入接口组ifgrp1,具体参数配置如下:
17. 单击“确定”。
18. 选择进入“全局选路策略”页签,单击“配置”,按如下参数配置全局选路策略。
19. 单击“确定”。
20. 选择进入“策略路由”页签,单击“新建”,按如下参数配置策略路由。其中,“UD_tax_system”为自定义应用,对应税务申报应用。自定义应用的配置方法请参考配置自定义应用,此处不详细介绍。
21. 单击“确定”。
结果验证
选择“网络 > 路由 > 智能选路”,在“全局选路策略”页签下可以看到各链路的健康状态和5分钟内的流量统计,如图2所示。
选择“网络 > 路由 > 智能选路”,在“策略路由”页签下可以看到已配置的策略路由,如图3所示。
配置脚本
#
interface GigabitEthernet1/0/0
ip address 1.1.1.1 255.255.255.0
gateway 1.1.1.254
healthcheck link-group isp1_health
#
interface GigabitEthernet1/0/1
ip address 1.1.2.2 255.255.255.0
gateway 1.1.2.254
healthcheck link-group isp1_health
#
interface GigabitEthernet1/0/7
ip address 2.2.2.2 255.255.255.0
gateway 2.2.2.254
healthcheck link-group isp2_health
#
interface GigabitEthernet1/0/3
ip address 10.3.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1
add interface GigabitEthernet1/0/7
#
interface-group name ifgrp1
interface-group ifgrp1 interface GigabitEthernet1/0/0
interface-group ifgrp1 interface GigabitEthernet1/0/1
#
policy-based-route
rule name tax_system
ingress-interface GigabitEthernet1/0/3
application app UD_tax_system
action pbr egress-interface multi-interface
add interface-group ifgrp1
add interface GigabitEthernet1/0/7 priority 2
mode priority-of-userdefine
#
multi-interface
add interface-group ifgrp1 priority 2
add interface GigabitEthernet1/0/7
mode priority-of-userdefine
#
healthcheck link-group 1 isp1_health
destination 3.3.10.10 protocol TCP destination-port 10001
destination 3.3.10.11 protocol TCP destination-port 10002
healthcheck link-group 2 isp2_health
destination 9.9.20.20 protocol TCP destination-port 10003
destination 9.9.20.21 protocol TCP destination-port 10004
#
return