飞塔双WAN(双链路)连接配置

飞塔双WAN（双链路）连接配置

2009-07-16 14:07:18 来源:未知作者:admin点击数:684 评论：

0 转发至：

用两条链路接入互联网有两种情况：冗余和负载均衡。这两种情况可以单独部署也可以联合使用。如下表：

环境介绍：

所有运行FortiOS2.8及以上版本的FortiGate设备。

步骤：

在每种情况中必须配置适当的防火墙策略，让数据可以正常通过。本文关心路由问题。

情况一：冗余

正常情况下只有一条链路承载数据，如果该链路断掉则备份链路开始承载数据。1，路由：

每条链路都需要配置一条默认路由，设置主链路的管理距离比备份链路底，这样在路由表中只有主链路的路由。

2，链路失效检测（Ping服务器）：

链路失效检测可以检测到对端的链路是否正常。Ping服务器的地址一般是下一跳或网关地址。可以在系统管理----网络中编辑接口，配置Ping服务器。

3，防火墙策略：

一般情况下，必须配置两条防火墙策略，保障一条链路断掉后另一条会正常工作。例如：Internal > WAN1 & Internal > WAN2。详情。

情况二：负载均衡

同时使用两条链路，这种情况会提高转发带宽，但没有链路失效恢复的保障。1，路由需求：

一条主链路的默认路由，用更详细的路由通过其他链路转发其他数据。详细信息。

情况三：冗余和负载均衡

同时使用两条链路转发数据。在这种情况下一条链路断掉数据会全部从另一条链路通过。

使用两条默认路由，且其管理距离相同。除了管理距离必须一样外，这和情况一类似。这样做的结果是两条路由都可以在路由表中看到。

设定管理距离：

一般情况下在路由----静态中设定。

如果是PPPoE接口需要在系统管理----网络中编辑接口，在PPPoE选项下设定管

理距离，同时要勾上从服务器中重新得到网关。

确保一条链路总是转发数据：使用一条默认策略路由可以让一个接口总是能访问互联网。

**警告----当配置此策略时需要额外注意！**

当数据包匹配策略路由时，策略路由就会比路由表中其他所有路由都优先（包括直连），即数据包会按策略路由执行。有时你可能要加入更详细的策略路由，这些路由优先于默认的策略路由。策略路由表示从上到下执行的。

让数据通过辅链路转发：为了提高辅助链路利用率，可以使用策略路由，让一些数据通过辅链路转发，减轻主链路负载。

当配置策略路由时，最好只选择流出接口而不填写网关地址。这样做可以确保在链路断掉时策略路由就不会有效。

特例：

1，同时监控两个WAN接口：

如果需要通过Ping两个WAN接口来证实两条链路都启用，就需要将两条默认路由的管理距离设成一致。

2，通过虚拟IP路由数据包：

与虚拟IP关联的会话将采用特殊方式处理。

实例一：虚拟IP在非默认接口上

有一台FortiGate-60，默认路由的出口是WAN 1，在WAN 2口上有一个虚拟IP，该虚拟IP指向DMZ中网站服务器。

在这种情况下，不需要针对该虚拟IP配置额外的静态路由或策略路由。因为一条路由缓存已经告诉FortiGate设备，需要将路径返回哪个接口。

实例二：冗余虚拟IP

有一台FortiGate-60，它的WAN 1和WAN 2都配置了一个虚拟IP，它的DMZ接口连接网站服务器。

进方向的流量和实例一中讨论的结果一致。

出方向的流量会把服务器的IP改成两个虚拟IP中的一个，确定是改成哪个虚拟IP需要看哪条链路的路由更优。

可以通过一条策略路由让出方向流量经指定端口流出。

关键字：冗余，负载均衡，策略路由，双链路介入互联网