【2022争霸赛*干货满满】AD负载防火墙场景分享

[size=14.0000pt]一、客户场景

[size=18.6667px]  客户单台防火墙吞吐不够单位业务使用，扩容需求比较紧急。源设备刚采购不愿跟换

[size=18.6667px]（虚拟防火墙最大带宽吞吐最大就1.2G，超融合大流量场景很容易涉及）截图较老，仅供参考。

[size=14.0000pt]二、解决方案

[size=14.0000pt]  用两台ad去负载多台防火墙，让数据流来回路径一致，保证多个防火墙因收到不同路径的数据包后阻断导致业务异常。同时内网的网络得到防火墙的有效防护。接下来我们就上配置。

[size=14.0000pt]三、配置说明：

1.网络拓扑图：

其中图中标识了网段x周围的设备配置相同网段的IP，且各网段之间不通

AD1、AD2均支持双机部署

2.各基本场景配置说明：

2.1.满足client1访问内网http服务器（仅7.0版本支持）：

AD1配置四层tcp虚拟服务（网段1上的IP ip1发布），禁用虚拟服务DNAT，节点为AF1-AF3上网段2的IP，节点监视器ping（启用透明开关，检视地址为AD2上网段3的IP ip3）；启用系统DNAT，将目的IP为ip1的数据包转换目的IP为AD2上的ip3；

AD2上配置http虚拟服务，ip3（AD2上网段3的IP ）发布，节点为Servers；开启对称路由     

2.2.满足client1访问内网https服务器且AF能做明文检测（仅7.0版本支持）：

AD1配置七层ssl虚拟服务（网段1上的IP ip1发布），禁用虚拟服务DNAT，节点为AF1-AF3上网段2的IP，节点监视器ping（启用透明开关，检视地址为AD2上网段3的IP ip3）；启用系统DNAT，将目的IP为ip1的数据包转换目的IP为AD2上ip3；

AD2上配置http虚拟服务，ip3（AD2上网段3的IP ）发布，节点为Servers；开启对称路由

2.3.满足client2上网（仅7.0版本支持）：

AD2上配置三层全0虚拟服务，禁用虚拟服务DNAT，启用自动SNAT，节点为AF1-AF3上网段3的IP，节点监视器ping（启用透明开关，检视地址为AD1上网段2的IP ip2）；

AD2配置智能路由上网策略；启用对称路由；在各出站链路上的配置SNAT转换为链路IP；

AF1、AF2、AF3配置默认路由，指向ip2

3.测试配置注意事项：

1.由于防火墙路由优先级在所有路由（除了智能路由）之后，为保证业务正常，请勿配置访问目的IP网段的 直连路由、静态路由、网关路由、动态路由等

2.节点（防火墙）必须和上下两端AD都是邻居，且两台AD不能是邻居（业务口）

3.如配置检查无误后访问仍然不通，请依次检查是匹配上了哪条路由出去

直连路由及静态路由查看方法：

route -n

网关路由查看方法：

ip r l t 250

动态路由查看方法：

ip r l t 200

感谢分享有助于工资和学习！

感谢楼主分享，努力学习中！

感谢楼主分享，努力学习中！

学习学习，感谢分享~~~