在防火墙策略（原则）中,负载平衡原则要如何运作.PDFVIP

在防火牆的 策略 (原則 中) ，負載 平衡原則要如何運作? 在防火牆的 策略 (原則 中) ，負載 平衡原則要如何運作? 我們以VigorPro 5300 系列為例，在韌體版本V3.3.5 中，負載平衡原則 (Load-Balance Policy) 是防火牆策略(原則)中一個新的功能。 為什麼要在防火牆策略中增加負載平衡原則? 在舊版韌體中，全部的流量第一個要接受的檢查就是透過防火牆規則來處理，如果該流量允許 通過網際網路，接著才會利用負載平衡原則來檢查，並決定該流量應該透過那個 WAN 口進 出。如您所見，負載平衡原則與防火牆規則都使用來源IP(Source IP) 、目的IP (Destination IP) 以及目的埠號(Destination Port)來設定媒合條件。在整合防火牆與負載平衡原則後，網路流量 只要以一種規則來檢查，就可以提升封包的處理效率。 在防火牆規則中的負載平衡原則有很多媒合條件諸如來源埠號與VLAN ，IP 物件/群組與服物 類型物件/群組也可以在此處指定，這些都可以讓負載平衡原則的運用更具彈性。 負載平衡原則在防火牆策略中是如何運作的 ? 下面的流程圖可以解釋負載平衡原則在VigorPro 5300 中的運作方式。 1 當封包到達路由器的時候，路由器將會檢查IP 過濾器規則，看看該封包有無符合任何IP 過濾 器規則(依據方向、來源IP 、服務類型等等)，再進行下一個檢查動作。 步驟 1 如果該封包符合任何一條 IP 過濾器規則，封包將透過指定的WAN 介面傳輸出去，這是依照 這條規則中的負載平衡原則(Load-Balance Policy)所選定的WAN 介面來決定的。如同下圖所 示，凡是介於 192.168.30.11 ~ 192.168.30.50 之間的流量都可以透過 WAN1 來傳輸。 如果負載平衡原則(Load-Balance Policy)所選定的是自動選擇(Auto-Select )，路由器就會繼續 以WAN 負載平衡原則(Load-Balance Policy)頁面所設定的原則來進行檢查。 2 步驟 2 依循步驟 1 進行，若該封包不符合任何IP 過濾器規則，但符合預設的規則，它可透過指定的 WAN 介面傳輸出去，這是依照防火牆 基本設定 預設規則頁面中的負載平衡原則 (Load-Balance Policy)所選定的WAN 介面來決定的。如同下圖所示，符合預設規則的封包都 可以透過 WAN2 來傳輸。 與步驟 1 相同，如果負載平衡原則(Load-Balance Policy)所選定的是自動選擇(Auto-Select )， 路由器就會繼續以 WAN 負載平衡原則(Load-Balance Policy)頁面所設定的原則來進行檢 查。 注意: 防火牆策略中的負載平衡原則沒有支援WAN 負載平衡原則(Load-Balance Policy)頁面中所 出現的Auto failover to the other WAN 啟用/停用功能，如果您想要綁定特殊的WAN 介面，不 讓流量從其他的 WAN 介面進出，即使該指定 WAN 介面中斷也不行的話，您必須停用 Auto failover to the other WAN 這個功能，由於防火牆策略中的負載平衡原則不支援這個功能，當 您設定防火牆原則時，請小心並確保選定的是自動選擇(Auto-Select )。 3 4