华为防火墙智能选路简介

最新推荐文章于 2025-03-28 22:51:06 发布
原创 最新推荐文章于 2025-03-28 22:51:06 发布 · 954 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器 #运维

随着业务的不断发展,企业通常会在网络出口部署多条链路,以此提高出口链路的带宽和可靠性。这样做虽然在一定程度上达到了预期效果,但是在实际应用中会存在如下问题:

  • 如果各条链路的带宽不等,则很可能出现某些带宽大的链路空闲、某些带宽小的链路拥塞的情况,从而造成链路资源的浪费。

  • 由于不同ISP链路的传输质量和服务费用不同,有时用户希望优先保证业务的传输质量,有时希望优先使用费用较低的链路,而平分流量是无法实现这些需求的。

  • 当出口设备与目的设备之间的链路出现故障或者目的设备上的服务不可用时,如果流量被转发到相应的链路上,则将造成访问失败。

通过部署智能选路功能,可以通过不同的智能选路方式,动态选择最优链路,并根据各链路实时状态动态调整分配结果,以此提高链路资源的利用率和用户体验。

智能选路分为两类:

  • 出站智能选路:当内网用户访问外网时,如果到达目的网络有多条链路可选,FW进行智能的选路。

表1出站智能选路

分类

定义

全局选路策略

当到达目的网络有多条等价路由或者缺省路由时,FW通过不同的智能选路方式动态选择最优链路。

策略路由

当网络中配置了策略路由,并且流量命中配置的策略路由时,如果到达目的网络有多条链路可选,FW通过不同的智
最低0.47元/天 解锁文章
华为防火墙的四种智能方式
qq_32044265的博客
11-16 3712
FW支持四种智能方式,不同的智能方式可以满足不同的需求,管理员可以根据设备和网络的实际情况进行择。 本文主要介绍防火墙​根据链带宽负载分担、基于链质量负载分担、基于链权重负载分担和基于链优先级主备备份,四种方式
华为防火墙实现多线智能
weixin_34405332的博客
04-24 7430
分公司因项目需要,上线一台华为防火墙,为了保障互联网出口的可用性,使用了两条SP链,一条联通50M企业专线,一条电信200M拨号链。项目的需求是:1. 连接到总部的×××流量,优先使用联通线;2. 用户上网的流量,优先使用电信线;3. 当一条公网链出现故障时,能自动进行切换。需求出来后,就需要进行实施了,怎么实现需求呢:1. 需置两条链都要能上网2. 配置健康状...
华为USG9500高端防火墙智能和负载均衡技术白皮书.pdf
11-06
华为USG9500高端防火墙智能和负载均衡技术白皮书.pdf
华为防火墙——多出口智能
HappyAston的博客
02-04 5166
流量进转发时,查询由的先后顺序是策略由、明细由、缺省由。策略智能发生在流量命中策略由时,如果有多个出接口则需要进行。全局智能发生在流量命中缺省由时,如果有多条缺省由则需要进行。ISP智能发生在流量命中明细由时,如果有多条明细由则需要进行
防火墙NAT和智能实验详解(华为)
m0_64365018的博客
07-13 2123
从我上面一个博客能够了解到NAT和防火墙原理 ——>防火墙nat和智能,这一章我通过实验来详解防火墙关于nat和智能从而能熟练使用和配置防火墙,这里使用的是华为USG6000V1、ensp模拟器进行实验。
18--华为防火墙智能配置全攻略:从拓扑到实战,让流量走“最优解“!
最新发布
2302_77698668的博客
03-28 1561
通过本文的"交通规划",你的网络将具备:• 🚑 自动故障逃生能力• 🚀 智能流量调度能力• 🛡️ 业务保障能力• 📊 可视化监控能力“配置防火墙就像训练导盲犬,既要严格遵循规则,又要足够智能应对突发情况”现在,你已经掌握了让网络流量"聪明出行"的秘籍,快去打造你的智能网络吧!
17--华为防火墙智能全解:网络世界的智能导航系统
2302_77698668的博客
03-28 1017
介绍防火墙智能,自动择最优传输径的智能决策系统实时监测网络状态(延迟、带宽、丢包率等)支持多种策略(负载均衡、优先级、质量最优等)
华为防火墙智能篇之传统方案(电信走电信、联通走联通与“负载均衡“)
网络之路Blog(其他平台同名)
09-14 2033
上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。
华为防火墙智能篇之结束篇(链质量方式以及实际中如何择哪种方式)
网络之路Blog(其他平台同名)
09-16 1621
(1)同一运营商多线的环境比较推荐使用基于带宽/权重方式来部署(包括传统方式)速率对等的场景(可以使用带宽货传统外网负载分担)速率不对等,相差不是特别大(可以使用带宽或者权重)速率不对等,并相差特别大(建议用权重)可以实现很多场景,基于一个网段来分开走电信与联通、多个网段分开走电信与联通、通过PBR来是实现某些协议走电信或者联通、基于某个域名、某个地址走对应线。(3)一定以客户意愿为前提。
华为防火墙智能篇之传统方案(主备方式会遇到哪些问题)
weixin_41007975的博客
08-07 553
作者:网络一天 首发公众号:网络博客(ID:NetworkBlog)回顾下传统的几种方式(1)负载均衡:有两条默认由同时存在由表,防火墙通过算法自动择一条线出去。(2)主备模式:配置了优先级,比如默认走电信,联通备用。(3)基于内网的“负载分担”:比如某几个网段走电信,某几个网段走联通(4)基于IS...
华为USG9500系列下一代防火墙产品智能技术白皮书.pdf
09-23
华为USG9500系列下一代防火墙产品智能技术白皮书.pdf
华为防火墙智能
Tony_long7483的博客
05-28 1945
配置内网IP地址及区域 [FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24 [FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1]service-manage ping permit [FW2-GigabitEthernet1/0/1]ip add 10.1.1.2 24 [FW2]firewall zone tr...
华为防火墙智能篇之传统方案(电信走电信、联通走联通与“负载均衡“)...
cnzzs的博客
08-08 1899
作者:网络一天 首发公众号:网络博客(ID:NetworkBlog)简介上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。方案二:外网负载均衡这种方式有一定的局限性,但是配置是最简单的。(1)要求同一个运营商(2)速率要求一样,否则会出现某一条带宽被占满导致网络...
华为防火墙智能篇之链权重(带宽)负载分担
网络之路Blog(其他平台同名)
09-16 2473
健康检查跟ip-link一样,需要先定好一个监测点,不变的思,肯定是找大厂商稳定的测试地址为主,比如114、阿里云DNS、百度云DNS都是可以的,但是ip-link只支持icmp探测,有局限性,但是健康检查支持更多的协议,可以基于TCP、DNS(解析某个网站)、HTTP来GET网页、ICMP,在实际中就有更多的择,常见的可以用ICMP探测以及DNS解析与TCP,下面博主用DNS以及TCP来演示下。当配置完健康检查后,会看到这样的提示,状态已经up了,说明检查成功了。
华为USG6000V防火墙NAT智能
duoba_an的博客
07-16 2027
NAT技术是”网络地址转换“,将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定,随机的。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态NAT转换。动态NAT是在由器或防火墙上配置一个外网IP地址池,当内部有计算机需要和外部通信时,就从地址池里动态的取出一个外网IP,并将他们的对应关系绑定到NAT表中,通信结束后,这个外网IP才被释放,可供其他内部IP地址转换使用,这个DHCP租约IP有相似之处。分公司内部的客户端可以通过域名访问到内部的服务器
华为防火墙nat和智能配置
m0_65350813的博客
07-14 665
9,多出口环境基于带宽比例进行,但是,办公区中10.0.2.10该设备只能通过电信的链访问互联网。10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;7,办公区设备可以通过电信链和移动链上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链和电信链访问到Dmz区的http服务器。11,游客区仅能通过移动链访问互联网。11,游客区仅能通过移动链访问互联网。配置电IP和移动链Ip。
华为防火墙与Hillstone防火墙以策略模板方式建立IPSec隧道
m0_62306540的博客
08-18 594
华为防火墙发起协商请求时,将根据由找到出接口,根据安全策略2判断流量是否可以透传,根据ACL判断是否是走IPSec的流量,根据安全策略3判断是否能够发起协商,如果判断结果都为“是”,华为防火墙才能正式发起协商。配置策略4,保证华为防火墙能够接收IPSec隧道建立请求,源、目的IP地址为两端的出口公网地址。华为防火墙接收协商请求时,将根据ACL判断对方的流量是否是受保护流量,根据安全策略4判断是否接受协商,如果判断结果都为“是”,则开始与对方协商,否则将丢弃协商报文。配置策略2,保证总部能够访问分支。
华为防火墙智能篇之结束篇(链质量方式以及实际中如何择哪种方式)...
weixin_40867058的博客
08-12 321
作者:网络一天 首发公众号:网络博客(ID:NetworkBlog)基于链质量的负载分担(最后一个模式)这个特意放到结束篇来讲解,主要是在实际中用的并不是特别的多(博主暂时是没有用过该模式),还一个原因是在实验环境也很难呈现出这样的现象,最终决定放在结束篇讲解,作为一个简单的配置介绍,以及注意的地方。链质量...
防火墙智能
zljszn的博客
10-24 1863
处获得多条链时,如果各链的带宽、转发时延、链租借费用等因素存在较大差异,那么可以优先使用某些链传输流量,并利用其他链作为备份链或负载分担链,提高业务的可靠性,此时可以择本方式。策略由是在由表已经产生的情况下,不按照现有的由表进行转发,而是根据用户制定的策略进行择的机制,从更多的维度(入接口、源安全区域、源。处获得多条性能不等的链时,为了优先使用转发性能最优的链,保证大多数用户的访问体验,且不浪费其它性能稍差的链,可以择此种方式。
防火墙配置智能
03-25
### 华为防火墙智能配置方法 #### 1. 基本概念 智能是一种通过多种因素(如带宽、链质量和优先级)来动态网络径的技术,从而优化流量分配并提高用户体验[^1]。 #### 2. 配置内网 IP 地址及区域 为了实现智能功能,首先需要定义内网接口及其所属的安全区域。以下是具体配置命令: ```shell [FW1-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0 [FW1] firewall zone trust [FW1-zone-trust] add interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1] service-manage ping permit ``` 上述命令用于设置信任区域内的内网接口,并允许 ICMP 流量通过以便于测试连接性[^2]。 #### 3. 多出口环境下的智能配置 在多出口环境中,可以通过以下方式实现基于带宽比例或其他条件的智能: ##### (1)创建全局策略 定义一条或多条全局规则,指定不同链上报文分发的比例或优先级。 ```shell [FW1] policy-based-route [FW1-pbr] rule name to_telecom [FW1-pbr-rule-to_telecom] source-address 10.0.2.10 mask 255.255.255.255 [FW1-pbr-rule-to_telecom] destination-address any [FW1-pbr-rule-to_telecom] action output-interface GigabitEthernet 1/0/2 ``` 此部分配置确保特定源地址的数据包仅通过指定的电信链发送到外部网络[^3]。 ##### (2)启用链过载保护机制 为了避免某条链因负载过高而影响整体性能,可以设定过载保护阈值。 ```shell [FW1] link-state-policy lsp_name [FW1-lsp-name] overload-protection threshold percentage 80 [FW1-lsp-name] apply interface GigabitEthernet 1/0/2 ``` 一旦检测到实际利用率超过预设百分比,则触发相应措施减少新流量进入这条接近饱和状态的线。 #### 4. 结合 NAT 功能完成最终部署 如果涉及地址转换需求,在完成以上步骤之后还需进一步调整NAT参数匹配新的由安排。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值