华为防火墙智能选路篇之链路权重（带宽）负载分担

基于链路的权重负载分担（真机演示）

这里博主采用真机演示，模拟器只能配置没办法模拟出效果，真机能够真实的体验出效果，更好的去理解，所以这边采用真机配置了。环境简化了，防火墙内网接了一台测试电脑（博主用的），外网对接了两个线路，上网对接方式都是DHCP，一个宽带是20M，一个宽带是50M，我们来看看基于链路权重如何配置，以及需要注意什么。

需要考虑的问题

如果在实际中遇到这样的需求，需要根据客户的实际环境来进行配置，比如客户那边是DHCP加拨号的组合，或者静态加DHCP等都有可能，而且还需要考虑到链路的有效性，是否出现了故障等。

（1）智能选路中的故障检测只能采用健康检查功能，所以在部署之前需要定义好

（2）健康检查功能是调用在接口上面的，当该检测失效，对应接口直接失效。

（3）如果实际环境中采用的外网对接方式是混合的，比如DHCP+拨号或者拨号加DHCP等方式，要注意默认路由的优先级，一定要保持一致，否则智能选路会出现问题。

（4）智能选路接口需要设置实际宽带的值，这样防火墙才能按照智能选路的策略来进行分配。

（5）健康检查到底需要不需要防火墙放行Local到untrust的流量？

配置相关

（1）基础配置就不在演示了，配置了内外网接口，加入了安全区域，配置了安全策略与NAT策略（允许内网上网即可）

其中192.168.254.254是内网网关，2个外网口分别接的外网用的DHCP模式，都加入了untrust安全区域。

[USG6300E]interface g0/0/9[USG6300E-GigabitEthernet0/0/9]shutdown

G0/0/8接的是20M的宽带，特意把9口关闭测速了下是正常的。

[USG6300E]interface g0/0/9[USG6300E-GigabitEthernet0/0/9]undo shut[USG6300E-GigabitEthernet0/0/9]int g0/0/8[USG6300E-GigabitEthernet0/0/8]shutdown

9口测速下来速度也是正常，50M。

[USG6300E]interfaceg0/0/8[USG6300E-GigabitEthernet0/0/8]undoshut

在把8口开启

（2）配置健康检查

健康检查跟ip-link一样，需要先定好一个监测点，不变的思路，肯定是找大厂商稳定的测试地址为主，比如114、阿里云DNS、百度云DNS都是可以的，但是ip-link只支持icmp探测，有局限性，但是健康检查支持更多的协议，可以基于TCP、DNS（解析某个网站）、HTTP来GET网页、ICMP，在实际中就有更多的选择，常见的可以用ICMP探测以及DNS解析与TCP，下面博主用DNS以及TCP来演示下。

[USG6300E]healthcheckenable          //开启健康检查[USG6300E]healthcheckname dx20m            //创建一个名称dx20m[USG6300E-healthcheck-dx20m]destination 223.5.5.5 interface g0/0/8next-hop 192.168.2.254 protocol tcp-simple destination-port 53

//整体意思是探测223.5.5.5 TCP的53端口号（简单探测），从G0/0/8出去下一跳是192.168.2.254（TCP支持一种，简单探测是不需要三次握手，还一种正常的三次握手的，两种都可以，简单的会更加快些）

当配置完健康检查后，会看到这样的提示，状态已经up了，说明检查成功了。（从Up能够解决第五个问题，健康检测是不需要额外放行安全策略的，也就是不受安全策略控制，在V5版本后）

[USG6300E]healthcheckname dx50m[USG6300E-healthcheck-dx50m]destination 114.114.114.114 interfaceg0/0/9 next-hop 172.16.1.254 protocol dns这里要注意下，默认情况下DNS解析的是www.huawei.com，可以根据自己来改，比如百度、163等。[USG6300E]healthcheckdomain-name

[USG6300E]interfaceg0/0/8[USG6300E-GigabitEthernet0/0/8]bandwidth ingress 20000 threshold 90[USG6300E-GigabitEthernet0/0/8]bandwidth egress 8000 threshold 90[USG6300E-GigabitEthernet0/0/8]healthcheck dx20m  interfaceGigabitEthernet0/0/9[USG6300E-GigabitEthernet0/0/9]bandwidth ingress 50000 threshold 90[USG6300E-GigabitEthernet0/0/9]bandwidth egress 8000 threshold 90[USG6300E-GigabitEthernet0/0/9]healthcheck dx50m

这里要注意一个“陷阱区“，很多朋友看到ingress跟egress，会把ingress当做上传，egress当做下载，如果从字面意思确实可以这样理解，但并不是，它的参考是数据包的方向，ingress表示进来的数据包，也就是客户端从外网下载回来进入防火墙的包，这个属于下载的速率，而egress是客户端的数据从防火墙发送出去到对方，表示上传，所以在实际输入中一定不要搞错了。（另外这里单位为kb，20000也就是20m）还最重要的一点threshold 90的参数作用，就是在上一篇提到的流量阀值，这里90代表的90%，超过90%就不在进入智能选路，直接切换到空闲的线路。

（4）配置基于权重的负载分担

[USG6300E]multi-interface （模拟器的命令是multi-linkif，其余都一样，但是这里博主强调一点，真机不管是从V1R1还是V5到V6命令都是multi-interface）

在V6R7中默认的模式就行基于权重的负载分担（不同版本可能存在差异，配置的时候注意下）

[USG6300E-multi-inter]add  interface g0/0/8 weight2[USG6300E-multi-inter]add  interface g0/0/9 weight5

weight数值越大表示权重越高，分的的流量就会越多，G0/0/8对应的带宽是20M，而G0/0/9对应的带宽是50M，按2:5分配，也可以1:3，最终就配置完成了，可以实际测试下。

实际测试（现象用WEB看更直观）

在网络---路由---智能选路里面，可以看到WEB界面能够很好的看到接口的占用率情况（这个是5分钟统计一次），接下来下载一个大文件看看效果。

可以看出来流量在2个接口之间还是非常均衡的分配的。剩下的还差一个健康检查功能，来试下当8口的外网出现故障后，会出现什么。

当把20m的模拟故障后，会发现对应的健康检查状态为down了。

虽然路由表还是呈现两条默认路由，但是通过display interface g0/0/8 healthcheck，可以看到所在接口的状态为down了。

这个时候速度会降为5.9MB（也就是差不多48M左右）

后台的显示也体现出来了20M的占用越来越少，因为已经故障了，所以不会在去发送流量。（注意这个统计是慢慢消失的，不是一下就直接清除掉）

基于链路带宽负载分担（真机演示）

24篇提到过基于带宽的负载分担与基于权重的很类似，这里顺便演示下，其实非常简单。

[USG6300E]multi-interface[USG6300E-multi-inter]modeproportion-of-bandwidthInfo: The memberinterface bandwidth must be configured in bandwidth-based load balancing mode.Otherwise, load balancing is affected.

在配置里面接口之前调用还有一个权重，这个只有在基于链路权重的模式下才能生效，其他模式其实是不生效的，但是为了看起来更加直观，修改下。

[USG6300E-multi-inter]undoadd interface g0/0/8[USG6300E-multi-inter]undoadd interface g0/0/9 [USG6300E-multi-inter]add  interface g0/0/8[USG6300E-multi-inter]add  interface g0/0/9