多链路负载均衡及冗余.PDF

多链路负载均衡及冗余 版本 1.0 时间 2011 年 10 月 作者 胡丹丹(ddhu@) 支持的版本 FortiOS v3.x,v4.x 状态 草稿 第 1 页 共 10 页 北京市海淀区北四环西路 52 号方正国际大厦 12 层 电话: (0104006005255 目录 1.目的 3 2.环境拓扑 3 3.链路负载均衡 3 3.1 基于源 IP 的负载均衡 4 3.2 基于权重的负载均衡 6 3.3 基于出口流量阀值的负载均衡 7 3.4 其他负载均衡 7 3.5 策略路由 8 4.链路冗余 8 4.1 检测服务器 8 4.2 管理距离与优先级 9 5.负载均衡与冗余 10 6.参考 10 第 2 页 共 10 页 北京市海淀区北四环西路 52 号方正国际大厦 12 层 电话: (0104006005255 1.目的 本文档针对 FortiGate 在具有两条或两条以上出口时的负载均衡及链路冗余 配置进行说明。Fortigate 在多链路可以支持不同方式的负载均衡,在链路负载均 衡的同时,也可以实现链路的冗余。 2.环境拓扑 本文使用 FortiGate-VM 做演示。本文支持的系统版本为 FortiOS v4.0MR3 Patch2 及更高。 该配置中使用 FortiGate-VM1 模拟两条WAN 线路 ，通过 FortiGate-VM2 连接至外网,实际环境可以据此参考。 3.链路负载均衡 链路负载均衡功能需要为 2 个不同的出网接口分别配置一条默认路由,如果 实现负载均衡,需要 2 条或多条静态路由的管理距离以及优先级保持一致。同时 也需要保证配置内网去往 2 条出口的策略。 如果使用静态路由的话可以把出网路由的管理距离配置成相等的，也就是等 第 3 页 共 10 页 北京市海淀区北四环西路 52 号方正国际大厦 12 层 电话: (0104006005255 价路由。如果是 ADSL、DHCP 等动态获取的网关的话可以把 “从服务器中重新 得到网关”选中同时将动态获取的路由的管理距离配置即可。在默认路由已经配 置完成的情况下，如果仍然有某些特定的数据流需要从指定的出口出网的话，可 以使用策略路由功能来完成这样的需求。策略路由的优先级高于动态和静态路由， 按照从上到下的次序来匹配的。 负载均衡包括三种模式: 1. 基于源 IP 的负载均衡; 2. 基于权重的负载均衡; 3.基于出口流量阀值的负载均衡。 3.1 基于源 IP 的负载均衡 基于源 IP 的负载均衡, 当路由表中有多个出网路由时，FortiGate 设备会按 内置的算法实现负载均衡，这个算法不能被修改。这个算法是：假设路由表中有 n 条出网路由，则防火墙会将内网源 IP 地址的最后一组数值除 n 取余，余 1 走 第 4 页 共 10 页 北京市海淀区北四环西路 52 号方正国际大厦 12 层 电话: (0104006005255 第一条出网路由，余 n-1 走第 n-1 条出网路由，余 0 走第 n 条出网路由。 本例的出网规则是：,如果想让某些 IP 走特定的接口需要策略路由来实现。 偶数 IP 走 port3,如下图 奇数 IP 走 port4 第 5 页 共 10 页 北京市海淀区北四环西路 52 号方正国际大厦 12 层 电话