下一代防火墙出口线路带宽最大利用测试

  下一代防火墙出口线路不支持聚合，只支持单线路带宽跑满，如果要实现带宽的最大利用，需要配置策略路由，但测速实现最大带宽，需要保证是多会话的环境才可以实现，并且需要关闭回话保持，来尽可能地平均分发回话，以此来实现带宽利用。但是关闭会话保持可能导致业务波动影响，不建议关闭。

客户背景，新架构防火墙替换老架构

#问题描述

多线路负载测试速度不达预期

#排查进展

1、客户内网测速的电脑是百兆的接口所以我们远程测速的时候达不到

2、更换电脑，并且将源地址策略路由指定接口出去之后测速可以达到一百多兆接近两百兆的效果（180-190）

最终诉求：

客户侧原来只有50M的线路带宽,用起来不够，客户买了一条30M专线，两个100M线路的，希望能实现内网出去上网的时候可以叠加带宽到达230M的效果。

答复：

1、深信服AF设备有会话保持机制，即当这个二元组选择一条线路之后，这个二元组的会话后续都会优先使用这个线路，避免出现同个业务跨运营商访问的问题，可以大幅度提高业务稳定性，例如［会议场景.高敏感业务］

2、在测试网速时通过下载测试，因单线程的机制，AF设备只会匹配单个接口出去就算做了负载，即两个100M的线路，最大也只能跑到100M；若业务流量或者测速的数据是多线程的，则可以实现达到负载链路叠加效果实现超过100M。

3、因此当前现状，我们仅支持多会话场景（包括下载和测速）可以达到100M以上（即超过单线路带宽上限）。

4、且在3的基础上，需要实现跟均衡的负载时，需要在设备上关闭会话保持使得会话更均匀的分发到不同线路。

最终采用关闭回话保持看下效果

操作步骤：

登录AF命令行界面
执行关闭会话保持命令：
session-persist disable
保存配置：
save-configuration

需要环境是多线程 将策略路由改成轮询

轮流调度已选择的链路，机会均等，相当于两条线路都跑流量

最终实现效果

补充 贝锐路由器

接入两根外网线路，开启如下选项

楼上说的有道理，AF串接在出口路由器和交换机之间，即使是单线千兆也可以跑满230M的外网出口。
但是按照描述，更像是出口AF配置了多ISP线路需要进行负载，但是测速不达标的情况。

不错的分享，但是防火墙上连口是支持聚合的哈，以下是官方说明：【AF聚合接口支持路由、透明、虚拟网线的聚合，但不支持旁路镜像。具体来说，聚合口最多可以有4个逻辑聚合口，每个聚合口最多支持8个物理口（从AF8.0.51开始支持16个逻辑聚合口）
此外，聚合接口支持静态手工聚合和动态LACP协议（适用版本区间：AF8.0.8-AF8.0.95），并且在标准版本AF8.0.51开始，聚合口若是路由口，支持DHCP获取IP】