在eNSP模拟器上使用usg6000v实现智能选路（根据链路带宽负载分担-Web方式）

在eNSP模拟器上使用usg6000v实现智能选路（根据链路带宽负载分担-Web方式）

• • 拓扑图
  • 设备选型
  • 业务规划
  • 配置思路
  • 操作步骤
  • 结果验证

拓扑图

设备选型

PC1与PC2设备使用PC型终端设备

LSW1设备使用S3700型号交换机设备

ISP1、ISP2与Internet设备使用Router型路由器设备

FW1使用USG6000v型号防火墙设备

Cloud选择"其它"设备中的Cloud设备，用于桥接登录FW1设备Web管理界面

业务规划

企业分别从ISP1和ISP2租用了一条链路，ISP1链路的带宽为100M，ISP2链路的带宽为50M。

企业希望流量按照带宽比例分担到ISP1和ISP2链路上，保证带宽资源得到充分利用。

当其中一条ISP链路过载时，后续流量将通过另一条ISP链路传输，提高访问的可靠性。

配置思路

由于企业希望上网流量能够根据带宽比例进行分配，所以智能选路的方式设置为根据链路带宽负载分担。为了保证链路故障或过载时，FW可以使用其他链路转发流量，还需要配置健康检查功能和链路过载保护功能。

1. 配置健康检查功能，分别为ISP1和ISP2链路配置健康检查。
2. 配置接口的IP地址、安全区域、网关地址、带宽和过载保护阈值，并在接口上应用健康检查。
3. 配置全局选路策略。配置智能选路方式为根据链路带宽负载分担，并指定FW1和ISP1、ISP2网络直连的出接口作为智能选路成员接口。
4. 配置基本的安全策略和NAT策略，允许企业内网用户访问外网资源。

操作步骤

1.网络基础参数配置

PC1：

PC2：

ISP1：

sysname ISP1
interface e0/0/0
ip address 11.0.0.2 24
quit 
interface E0/0/1
ip address 11.0.12.1 24
quit 

ISP2：

sysname ISP2
interface e0/0/0
ip address 21.0.0.2 24
quit 
interface E0/0/1
ip address 11.0.23.1 24
quit 

Internet：

sysname Internet
interface e0/0/0
ip address 11.0.12.2 24
quit 
interface E0/0/1
ip address 11.0.23.2 24
quit 
interface Loopback0
ip address 100.100.100.100 32
quit 

FW1：

interface g1/0/1
ip address 172.16.10.254 24
quit 
interface g1/0/2
ip address 11.0.0.1 24
quit 
interface g1/0/3
ip address 21.0.0.1 24
quit 
firewall zone trust
add interface g1/0/1
quit 
firewall zone untrust
add interface g1/0/2
add interface g1/0/3
quit 

2.基础路由配置

ISP1：

ospf 1 router-id 1.1.1.1
 import-route direct
 area 0.0.0.0
  network 11.0.12.0 0.0.0.255
#

ISP2：

ospf 1 router-id 2.2.2.2
 import-route direct
 area 0.0.0.0
  network 11.0.23.0 0.0.0.255
#

Internet：

ospf 1 router-id 3.3.3.3
 import-route direct
 area 0.0.0.0
  network 11.0.23.0 0.0.0.255
  network 11.0.12.0 0.0.0.255
#

FW1：

ip route-static 0.0.0.0 0.0.0.0 11.0.0.2
ip route-static 0.0.0.0 0.0.0.0 21.0.0.2

3.源NAT配置

FW1：

nat-policy
 rule name to_Internet
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  action source-nat easy-ip

4.设置网络桥接

Cloud1：

说明：实际设置Cloud1设备的桥接网卡时，需根据自身PC设备存在的虚拟网卡设置，不一定非要与上图保持一致，仅需确保桥接的虚拟网卡和FW1设备的G0/0/0接口处于网一网段。

完成上述设置后，将Cloud1设备与FW1设备的G0/0/0接口连接。并完成FW1设备的G0/0/0接口的基础配置：

FW1：

sysname FW1
interface g0/0/0
ip add 192.168.10.1 24
service-manage https permit 
quit 

完成上述配置后，在PC上打开浏览器，输入：https://192.168.10.1:8443，访问FW1设备的Web管理界面：

5.配置健康检查

采用同样操作流程，创建针对ISP2线路的健康检查实例，完成后效果如下：

6.配置网络出口参数

采用同样配置方式创建ISP2的链路接口，完成后效果如下：

完成上述配置后，继续创建链路接口组：

7.配置出口智能选路

7.配置业务安全策略

结果验证

PC1访问Internet：

PC2访问Internet：

上述测试流程在两台PC上轮流执行多次（也可借助外部工具对防火墙接口执行高并发业务流压力测试，检验出接口过载情况下的出接口分配情况），模拟企业外发的业务流。

检查不同出接口会话数量

G1/0/2（ISP1）接口会话数：

G1/0/3（ISP2）接口会话数：