如何实施ECMP(负载平衡)上 Firewall
215232
Created On 09/25/18 17:19 PM - Last Modified 01/18/23 20:51 PM
Symptom
等价多径 (ECMP ) 是在PAN-OS7.0。 它为去往同一目的地的“等价”路由提供多路径支持。 最多支持 4 个等价路径
如果没有此功能,如果有多个等价路由到同一目的地,则虚拟路由器会从路由表中选择其中一条路由并将其添加到其转发表;除非所选路线中断,否则它不会使用任何其他路线。
ECMP负载平衡是在会话级别完成的,而不是在数据包级别——新会话的开始是在firewall(ECMP ) 选择等价路径
本文重点介绍基本配置实现ECMP在 firewall
Environment
- PAN-OS 7.0
- ECMP (等价多径)
Resolution
拓扑结构
接口配置:
注意:ethernet1/1 和 ethernet1/11 是ISP在不同区域中配置的接口 L3-Untrust 和VPN分别。 但是,这些接口也可以配置在同一区域中
两个默认路由都具有“等价”的路由配置:
NAT policy能够通过互联网路由流量:
注意:如果两者ISP接口在同一个zone中,则需要将目的接口添加到NAT policy如以下屏幕截图所示:
安全policy允许流量的配置:(涵盖接口位于相同或不同区域时的两种情况)
启用ECMP在firewall:
笔记:
- Max Path 2 表示只会安装 2 条等价路径FIB桌子。 如果需要安装2个以上的等价路径FIB表,更改最大路径值。 支持的最大值为 4。
- 可根据需要选择负载均衡方式。 更多负载均衡算法请点击这里
- 如果回复数据包应该从请求数据包进入的同一接口发出,则启用对称返回。
Additional Information
核实ECMP工作中:
Monitor > Traffic Logs(不同区域)
Monitor > Traffic Logs(同一个区域)
安装路线ECMP有个 ”E “其中的标志:
笔记:有关详细信息ECMP, 请点击这里