FortiGate之多鏈路負載均衡及冗余設(shè)定

1、f 益 FmriETi多鏈路負載均衡及冗余版本1.0時間2011年10月作者胡丹丹(ddhu)支持的版本FortiOS v3.x,v4.x狀態(tài)草稿北京市海淀區(qū)北四環(huán)西路 52號中芯大廈12層電話：(010)62960376f 益 FmriETi目錄1. 目的：32. 環(huán)境拓撲：33. 鏈路負載均衡：33.1基于源IP的負載均衡43.2基于權(quán)重的負載均衡 63.3基于出口流量閥值的負載均衡 63.4其他負載均衡73.5策略路由74. 鏈路冗余84.1檢測服務(wù)器84.2管理距離與優(yōu)先級 85. 負載均衡與冗余 9參考9北京市海淀區(qū)北四環(huán)西路 52號中芯大廈12層電話：（010）62960376F:

2、：:RTinET北京市海淀區(qū)北四環(huán)西路 52號中芯大廈12層電話：(010)62960376F:：:RTinET1. 目的：本文檔針對FortiG ate在具有兩條或兩條以上出口時的負載均衡及鏈路冗余配置進行說明。Fortigate在多鏈路可以支持不同方式的負載均衡，在鏈路負載均衡的同時，也可以實現(xiàn)鏈路的冗余。2. 環(huán)境拓撲：FortiOS V4.0MR3本文使用 FortiGate-VM 做演示。本文支持的系統(tǒng)版本為Patch2及更高PC172.1&.1.2VM1 PortiPartiportaWanlWan3該配置中使用 FortiGate-VM1 模擬兩條 W

3、AN線路，通過FortiGate-VM2連接至外網(wǎng)，實際環(huán)境可以據(jù)此參考3. 鏈路負載均衡：鏈路負載均衡功能需要為 2個不同的出網(wǎng)接口分別配置一條默認路由，如果實現(xiàn)負載均衡，需要2條或多條靜態(tài)路由的管理距離以及優(yōu)先級保持一致。同時 也需要保證配置內(nèi)網(wǎng)去往 2條出口的策略。如果使用靜態(tài)路由的話可以把出網(wǎng)路由的管理距離配置成相等的，也就是等價路由。如果是ADSL、DHCP等動態(tài)獲取的網(wǎng)關(guān)的話可以把“從服務(wù)器中重新 得到網(wǎng)關(guān)”選中同時將動態(tài)獲取的路由的管理距離配置即可。在默認路由已經(jīng)配置完成的情況下，如果仍然有某些特定的數(shù)據(jù)流需要從指定的出口出網(wǎng)的話，可以使用策略路由功能來完成這樣的需求。策略路由的

4、優(yōu)先級高于動態(tài)和靜態(tài)路由，按照從上到下的次序來匹配的。負載均衡包括三種模式:1. 基于源IP的負載均衡；2. 基于權(quán)重的負載均衡；3. 基于出口流量閥值的負載均衡。5®確險：ntn1idltvti"SiQI順tEMAMiE（CT£172HLM*ALVO1苫瓷雕JL121JE如-iXfW蛙回盤円$linfi:x;dZ口3.1基于源IP的負載均衡基于源IP的負載均衡,當路由表中有多個出網(wǎng)路由時，F(xiàn)ortiGate設(shè)備會按內(nèi)置的算法實現(xiàn)負載均衡，這個算法不能被修改。這個算法是：假設(shè)路由表中有 n條出網(wǎng)路由，則防火墻會將內(nèi)網(wǎng)源IP地址的最后一組數(shù)值除 n取余，余1走第一條

5、出網(wǎng)路由，余 n-1走第n-1條出網(wǎng)路由，余 0走第n條出網(wǎng)路由。本例的出網(wǎng)規(guī)則是：，如果想讓某些IP走特定的接口需要策略路由來實現(xiàn)。ECHP LqjI BaliMiHp IMwlSEB5-號笊附 -J綜廷由KDoM Prato«lImiTvalFallowDead 転Him畔 Detect偶數(shù)IP走port3,如下圖（Ethernet adapterConnectionspecif£c DNS Suffix «：IP Address*：Subnet Mask 255-256.255.0Default Gateua :10-1.0.1Etkeppe

6、t adapter 本地連接 2 :Hsdia StateMedia disconnectedC： Docuinents and Se tt ins Vfidmln lsti*A-t<n'>tracei't A uv>_ f ovt ine*t .comTi*acing route to uuu.Foitinct .com £6 .171.121 -34 Jover a naxinum of 30 hops:1<1ns<1ms<1ns21ns<1HJ13<1nts172-16 _1_1311ns3ms3m

7、s192 168.81415ns22ns113.47*2401奇數(shù)IP走port4Ethernet a.d.aptep 本地連接：Gonnection-pecific DNS Suffix -: IP Address:8itbnet llak255-255.255-0Defa.u.lt Gateuij -.-_： 10_1_0_1Ether-net a-daptei* 本地連接 2 -Media State .,. .： Media disconnectedC- DocLLraent s and Se tt ingisftdTilnisti'atoi'ttf&#

8、39;acei"t d vjuu-f ort zlnef; .cornT vac ing- route tofinet - cam rfi& _1?1.121 ,34 Jover亂na耳iegnf 39 hops4-1<1 ms<L n#<1ms2<1 ns<£ ns：<1ms172-16-2-133 ns2 nns：2ns192.168.8,1417 ms? ns11347.240北京市海淀區(qū)北四環(huán)西路 52號中芯大廈12層電話：(010)62960376F:：:RTinET3.2基于權(quán)重的負載均衡基于權(quán)重的負載

9、均衡，F(xiàn)ortiGate將根據(jù)接口的權(quán)值來分配所有的會話。那么同一源的多個會話有可能被均勻的分配在多條鏈路上時，此時理論上可以起到帶寬疊加的效果北京市海淀區(qū)北四環(huán)西路 52號中芯大廈12層電話：(010)62960376F:：:RTinET北京市海淀區(qū)北四環(huán)西路 52號中芯大廈12層電話：(010)62960376F:：:RTinET此例中,port3與port4權(quán)值均為50,意味FortiGate將平均分配會話在 2個接口上。如果希望更多的流量走Port3,可以增加該接口的權(quán)值。變口*州土 J酣古-q莒士 :膽I-.臼“芒 1仝匚垂po rts OOC；af5:5C33)fTaWni已胡&#

10、176;CHCP)PPPcE172.14,12/51 J 55 55J0匚 Dedicace thus irt-erace to - ortAP Ea*-nEctiOnIhttfs VlpMG I'*' HTTP P.FWi 訪司HELTHwI二卩訂一 EE迢粘氓.一牟：-擊ML-鳳03.3基于出口流量閥值的負載均衡針對接口定義流量閥值，當出口流量，即上行流量達到指定閥值后，系統(tǒng)將切換鏈路至另外一條鏈路。目前FortiGate僅能基于出口流量進行切換。北京市海淀區(qū)北四環(huán)西路 52號中芯大廈12層電話：(010)62960376F:：:RTinETDedicdle this im

11、 ceit.° to ror1iA P tanner lionDNS DHCP磚器i a SISSISr iJ|址宅 席田PolkyFJrawall OtojMtt7IHTTPS 歹 ping V http V HWGiS何Y SNMP 笙 TELNET夜IB0鹽宿戟丙值BClthit/53.4其他負載均衡另外一種情況，很多用戶希望通過根據(jù)相應(yīng)目的地來決定鏈路的選擇，例如對指定電信的資源流經(jīng)電信出口訪問等?？梢酝ㄟ^設(shè)置多條靜態(tài)路由來實現(xiàn)。以下為電信及聯(lián)通（原網(wǎng)通）路由，（僅供參考使用，如用于生產(chǎn)網(wǎng)絡(luò)使用，請自行核實后替換接口及網(wǎng)關(guān)地址使用?。╇娦怕酚删W(wǎng)通路由3.5策略路由在執(zhí)行負載均

12、衡的同時，部分源ip希望從指定接口流出，這時需要用到策略路由，通過定義策略路由，可以設(shè)定源及目標地址，當匹配該設(shè)定的流量從指定接口流出赳人爭匚目E二.賽丘頑虻果聲人;口一帕？?匚iajLO.J/255.355.255.255O.&a.Q/C.D.Oi.O£= 655.35cifflE： TO-丸耳利 歸調(diào)云00 件七滬利O.D J.0北京市海淀區(qū)北四環(huán)西路 52號中芯大廈12層電話：(010)62960376F:：:RTinET4. 鏈路冗余4.1檢測服務(wù)器路由-settings 可以設(shè)置網(wǎng)關(guān)檢測功能 （Dead Gateway Dectection）, 分別在2個出網(wǎng)接口上

13、配置 PING Server,告訴FortiGate 可以通過ping（也可以選擇 TCP或UDP的echo）是否被響應(yīng)來確定線路是否仍然連通。Pi ng server的配置原則是:盡量配置成防火墻的網(wǎng)關(guān)（請先確認此網(wǎng)關(guān)允許被ping，在撥號環(huán)境中同時確認網(wǎng)關(guān)地址不會由于客戶端地址改變而發(fā)生改變）。當系統(tǒng)檢測到5個連續(xù)ICMP包無回應(yīng)（可以修改默認值）,則認為該鏈路已失 效,將該鏈路的默認路由從當前路由表中刪除，那么流量將重新負載在剩余的鏈路4.2管理距離與優(yōu)先級通過調(diào)整設(shè)備接口的管理距離 ，同樣可以用于鏈路冗余使用 ，當設(shè)置2條不同 管理距離的路由時，僅管理距離較低的那條路由會出現(xiàn)在當前路由表中 ，即只有低 管理距離路由才會生效 ，當該路由失效后，高管理距離才會出現(xiàn)在當前路由表中此時無法實現(xiàn)流量負載均衡。關(guān)于管理距離與路由優(yōu)先的詳細設(shè)置 ，請參考靜態(tài)路由的管理距離和優(yōu)先級5. 負載均衡與冗余負載均衡與冗余可以同時生效，即在配置好負載均衡的鏈路上啟用檢測服務(wù) 器即可,這樣既可以做到負載均衡，同時當鏈路失效時仍可以使用另外一條鏈路訪 問 In ternet6. 參考Con figuri ng link redundan cy-Traffic load-bala ncin g/load-shari ng - ECMP (EqualCost Multiple Path)