UTM静态、策略路由及链路备份

地址：深圳市福田区燕南路404栋605室
关于UTM 静态、策略路由及链路备份说明
1网络结构及文档说明
本文档针对UTM 设备的路由配置（不含动态路由）进行说明，基本网络拓扑图如下：
需要实现的功能如下：
（1） 在双链路的情况下实现链路备份
（2） 在双链路的情况下实现链路均衡
（3） 在双链路的情况下实现对外的地址映射
在双链路情况下实现链路备份
描述：如上图所示用户有两条外网链路分别接在UTM 的Port5和Port6上（电信线路和网通线路），内部主机缺省只使用Port6的链路上网，Port5链路只是作
地址：深圳市福田区燕南路404栋605室
为备份，当Port6链路出现故障再切换Port5。

本配置主要通过调整UTM 设备的静态路由实现，基本配置如下：
操作：路由――静态路由
上图 分别添加两条静态路由，注意此时去往Port6的静态路由的“路径长度”为10，在UTM 设备上对于相同的路由通过“路径长度”区分，“路径长度”值越小，选择优先。

通过检查远端地址，实现路由切换：
通过Ping 服务器的方式检查远端地址，减少由于本地接口正常而远端链路故障而设备不能切换的问题，同时提高切换的时间。

操作： 系统管理――网络――接口――Port6 编辑Ping 服务器，添加一个远端可以Ping 的地址，当这个地址Ping 不通时，及切换路由。

地址：深圳市福田区燕南路404栋605室
操作：在 系统管理――网络――选项 中失效网关检测：选择检测间歇和故障恢复检测，建议使用静态配置，默认配置的切换时间在5个ping 包左右。

当远端192.168.0.156的地址不可达，设备的路由及进行切换。

当远端地址192.168.0.156恢复，设备路由重新切换回原有的Port6路由。

实现双链路负载均衡
实现双链路负载均衡两个基本原则：一，对双链路添加等价的静态路由，二，通过策略路由实现上网流量的负载均衡。

上图：添加两条“路径长度”相同的静态路由。

重要说明：
当UTM 存在等价两条静态路由时，在没有策略路由控制的情况下，内部用户的对外访问如何选择。

UTM 设备根据静态路由在CLI 下建立的edit Num 的大小来确认当前工作的静态（缺省路由），NUM 值小的为当前工作的静态（缺省）路由。

注意这个值不是系统WEB 界面上的序号值，在WEB 管理界面即使调整路由的顺序，当设备重新启动后，UTM 会加载两条路由在路由表中，但是只有一条工作，工作一条及为在CLI 下看到的edit Num 小的。

建议在多链路应用的情况下（存在缺省路由和策略路由），在完成路由配置
地址：深圳市福田区燕南路404栋605室
后重启设备，保证路由按要求控制。

config router static
edit 1 //Num 小，因此设备重新启动后，本条路由为工作的路由 set device "port6"
set gateway 192.168.3.254
next
edit 3
set device "port5"
set gateway 192.168.2.254
end
操作：路由――策略路由 ――添加策略路由
上图显示：来自于Port1的所有地址和数据包（协议端口为IP 的端口：17为UDP 、6为TCP 、0为所有），去往192.168.0.141（Port5 外网地址）的数据包从Port5出去，下一条地址为0.0.0.0（注意此处一定填写0.0.0.0）。

此时，内部主机可以正常访问192.168.0.141，而其他的访问仍然走Port6。

在实际环境中，可以根据用户需求进行策略路由的调整。

双链路实现对外地址映射
首先完成路由和策略路由的配置。

其次，完成静态映射的设置。

地址：深圳市福田区燕南路404栋605室
操作： 防火墙――虚拟IP ，添加必要的映射地址
上图：在Port6接口使用192.168.3.2映射到内部服务器192.168.1.118。

同例添加Port5上的静态映射
最后，添加必要的防火墙策略
地址：深圳市福田区燕南路404栋605室
上图：添加对Port5接口映射地址的访问策略，注意目的地址为新建的虚拟IP ，目的端口为Port1接口，实际服务器所在的接口。

说明：在双链路静态映射的情况下，必须添加两条目的地址为全零的静态（缺省）路由，且两条路由的“路径长度”为相同的值，保证数据回包正常。