UP: 假如多链路(电信和移动)设置了过载保护,并且全局模式下为根据负载分担流量的话,可能导致企业微信发送接收消息乃至图片转圈,并且发送失败,可取消链路过载保护,改成主备模式分担,策略路由规则也是如此。
UP: 如开启了DNS透明代理功能,静态域名列表则不生效!
附USG6000&USG9000系列使用手册,必须先做好基本的配置再看本教程! 注意:前排警告,使用手册有些错误,不一定准,楼主看了走了一些弯路。
1、设置多线接入参数
网口一览 链路健康检查策略 可以先添加各运营商链路健康检测策略,以便在其中一条链路出现故障时 请求 不会命中此故障链路;链路健康检查支持http、icmp、dns等多种检查方式(图2),但不支持域名; 图3-5以GE1/0/2链路参数为例:
虚拟系统:root,安全区域:untrust(外网) 模式:路由 网络连接方式根据需求设置,勾选多运营商出口,运营商路由可选可不选,反正后面能做转发策略, 链路健康必选,上图以移动为例,静态ip请勾选缺省路由,关于源进源出如果有用到nat server多出口就勾选 接口带宽根据链路带宽大小填写 注意后面Mbps单位选择,过载保护看自身想法; 关于访问控制,如果只想允许这条链路的外来请求访问http、https就勾选相应的选项,不勾选即不允许。
可以先添加各运营商链路健康检测策略,以便在其中一条链路出现故障时 请求 不会命中此故障链路;链路健康检查支持http、icmp、dns等多种检查方式(图2),但不支持域名; 图3-5以GE1/0/2链路参数为例:
虚拟系统:root,安全区域:untrust(外网) 模式:路由 网络连接方式根据需求设置,勾选多运营商出口,运营商路由可选可不选,反正后面能做转发策略, 链路健康必选,上图以移动为例,静态ip请勾选缺省路由,关于源进源出如果有用到nat server多出口就勾选 接口带宽根据链路带宽大小填写 注意后面Mbps单位选择,过载保护看自身想法; 关于访问控制,如果只想允许这条链路的外来请求访问http、https就勾选相应的选项,不勾选即不允许。
2、配置安全策略
配置trust (内网)到untrust(外网)的转发规则,如图,博主不做任何限制允许全部 客户端转发,当然你也可以根据自身要求配置;
3、配置NAT转发
不做其他限制,配置trust(内网)到untrust(外网)的数据转发请求;
4、配置智能选路
负载均衡有几种方式,可根据具体需求配置,这里博主选择 根据链路带宽负载分担 出接口列表选择你的外网出口,关于chinamobile_4g这个接口组,可以在上个选项卡的接口组进行自定义;
5、配置策略路由
策略路由一览
其实默认的那条策略可以编辑掉,但由于博主太懒,以上的策略越靠近顶部优先级越高;以上策略的大意如果访问47.88这个ip,则从移动链路出去,如果访问119.92这个ip,则从电信链路出去,配置参数如最后两个图,您也可以根据自身需求变更为多出口,设置好出口优先级即可,最后记得保存!