UTM静态、策略路由及链路备份

1、深圳市兴瑞得科技有限公司关于UTM静态、策略路由及链路备份说明1网络结构及文档说明本文档针对UTM设备的路由配置（不含动态路由）进行说明，基本网络拓扑图如下：需要实现的功能如下：（1） 在双链路的情况下实现链路备份（2） 在双链路的情况下实现链路均衡（3） 在双链路的情况下实现对外的地址映射在双链路情况下实现链路备份描述：如上图所示用户有两条外网链路分别接在UTM的Port5和Port6上（电信线路和网通线路），内部主机缺省只使用Port6的链路上网，Port5链路只是作地址：深圳市福田区燕南路404栋605室技术热线：800-830-9040 supportx- 网站：www.x-深圳市兴瑞

2、得科技有限公司为备份，当Port6链路出现故障再切换Port5。本配置主要通过调整UTM设备的静态路由实现，基本配置如下：操作：路由静态路由上图 分别添加两条静态路由，注意此时去往Port6的静态路由的“路径长度”为10，在UTM设备上对于相同的路由通过“路径长度”区分，“路径长度”值越小，选择优先。通过检查远端地址，实现路由切换：通过Ping 服务器的方式检查远端地址，减少由于本地接口正常而远端链路故障而设备不能切换的问题，同时提高切换的时间。操作： 系统管理网络接口Port6 编辑Ping服务器，添加一个远端可以Ping的地址，当这个地址Ping不通时，及切换路由。地址：深圳市福田区燕南路

3、404栋605室技术热线：800-830-9040 supportx- 网站：www.x-深圳市兴瑞得科技有限公司操作：在 系统管理网络选项 中失效网关检测：选择检测间歇和故障恢复检测，建议使用静态配置，默认配置的切换时间在5个ping包左右。当远端56的地址不可达，设备的路由及进行切换。当远端地址56恢复，设备路由重新切换回原有的Port6路由。 实现双链路负载均衡实现双链路负载均衡两个基本原则：一，对双链路添加等价的静态路由，二，通过策略路由实现上网流量的负载均衡。上图：添加两条“路径长度”相同的静态路由。重要说明：当UTM存在等价两条静态路由时

4、，在没有策略路由控制的情况下，内部用户的对外访问如何选择。UTM设备根据静态路由在CLI下建立的edit Num的大小来确认当前工作的静态（缺省路由），NUM值小的为当前工作的静态（缺省）路由。注意这个值不是系统WEB界面上的序号值，在WEB管理界面即使调整路由的顺序，当设备重新启动后，UTM会加载两条路由在路由表中，但是只有一条工作，工作一条及为在CLI下看到的edit Num小的。建议在多链路应用的情况下（存在缺省路由和策略路由），在完成路由配置地址：深圳市福田区燕南路404栋605室技术热线：800-830-9040 supportx- 网站：www.x-深圳市兴瑞得科技有限公司后重启设

5、备，保证路由按要求控制。config router staticedit 1 /Num小，因此设备重新启动后，本条路由为工作的路由 set device "port6"set gateway 54nextedit 3set device "port5"set gateway 54end操作：路由策略路由 添加策略路由上图显示：来自于Port1的所有地址和数据包（协议端口为IP的端口：17为UDP、6为TCP、0为所有），去往41（Port5 外网地址）的数据包从Port5出去，下一条地址为

6、（注意此处一定填写）。此时，内部主机可以正常访问41，而其他的访问仍然走Port6。在实际环境中，可以根据用户需求进行策略路由的调整。双链路实现对外地址映射首先完成路由和策略路由的配置。其次，完成静态映射的设置。地址：深圳市福田区燕南路404栋605室技术热线：800-830-9040 supportx- 网站：www.x-深圳市兴瑞得科技有限公司操作： 防火墙虚拟IP，添加必要的映射地址上图：在Port6接口使用映射到内部服务器18。同例添加Port5上的静态映射最后，添加必要的防火墙策略地址：深圳市福田区燕南路404栋605室技术热线：800-830-9040 supportx- 网站：www.x-深圳市兴瑞得科技有限公司上图：添加对Port5接口映射地址的访问策略，注意目的地址为新建的虚拟IP，目的端口为Port1接口，实际服务器所在的接口。说明：在双链路静态映射的情况下，必须添加两