主备运营商线路链路负载配置指南（华三、华为、深信服、天融信）

一、链路负载核心原理

通过智能选路算法实现双运营商线路的主备切换和负载均衡，确保业务连续性：

• 健康检测：实时监控链路状态（延迟、丢包率、带宽利用率）

• 策略路由：基于应用类型、目标地址、链路质量智能选路

• 会话保持：确保同一用户会话不因链路切换中断

• 自动切换：主线路故障时秒级切换到备用线路

---

二、华三（H3C）防火墙配置

拓扑结构

text

复制

下载

[内网] → [H3C防火墙] → 主线路(电信) → 互联网
                   ↘ 备用线路(联通) → 互联网

关键配置

bash

复制

下载

# 1. 配置运营商线路接口
interface GigabitEthernet1/0/1  # 电信接口
 ip address 202.102.1.2 255.255.255.0
 nat outbound
interface GigabitEthernet1/0/2  # 联通接口
 ip address 211.94.1.2 255.255.255.0
 nat outbound

# 2. 配置健康检测
nqa entry admin telnet
 type tcp
 destination ip 114.114.114.114
 destination port 80
 frequency 10
 reaction 1 checked-element probe-fail threshold-type consecutive 3

# 3. 配置链路组
link-group CTN  # 电信主链路
 link 1 interface GigabitEthernet1/0/1
  route ip 0.0.0.0 0.0.0.0 202.102.1.1
  nqa admin telnet
  priority 100  # 主链路优先级
link-group CU  # 联通备链路
 link 1 interface GigabitEthernet1/0/2
  route ip 0.0.0.0 0.0.0.0 211.94.1.1
  priority 50   # 备链路优先级

# 4. 配置负载策略
load-balance policy P1
 default-link-group CTN
 backup-link-group CU

---

三、华为防火墙配置

配置要点

bash

复制

下载

# 1. 创建链路质量组
link-quality-group CTN
 metric loss-rate weight 60
 metric delay weight 40
 threshold down 80  # 质量低于80分切换

# 2. 配置智能选路策略
policy-based-route PBR
 rule name CTN-PRIMARY
  source-zone trust
  destination-zone untrust
  source-address 192.168.0.0 24
  action pbr load-balance
   link-quality CTN
   nexthop 202.102.1.1 interface GigabitEthernet1/0/1
   nexthop 211.94.1.1 interface GigabitEthernet1/0/2 backup

# 3. 配置会话保持
session persistent enable
 session persistent type source-ip timeout 3600

# 4. 配置带宽保障（QoS）
traffic-policy QOS-OUTBOUND
 classifier VIDEO
  behavior VIDEO
   bandwidth 10Mbps  # 保障视频流量带宽

---

四、深信服防火墙配置

WEB界面配置步骤

1. 网络配置 → 链路负载：

   • 添加主线路（电信）：202.102.1.1，权重100

   • 添加备线路（联通）：211.94.1.1，权重50

   • 健康检查：ICMP+HTTP双检测

2. 策略配置 → 智能路由：

   markdown

   复制

   下载

   | 规则名称   | 源地址    | 应用       | 目标地区 | 选路方式       |
   |------------|-----------|------------|----------|----------------|
   | 视频流量   | 任何      | 视频会议   | 国内     | 最低延迟链路   |
   | 办公流量   | 192.168.1.0/24 | HTTP     | 任何     | 主链路优先     |
   | 备份流量   | 192.168.2.0/24 | FTP      | 任何     | 带宽利用率最低 |

3. 高级设置 → 会话保持：

   • 启用源IP会话保持

   • 超时时间：7200秒

---

五、天融信防火墙配置

命令行配置

bash

复制

下载

# 1. 配置链路监控
link-monitor group CTN
 monitor-type icmp http
 target-host 114.114.114.114
 interval 5
 failure-count 3

# 2. 创建负载均衡策略
load-balance policy LB1
 rule 1
  match interface GigabitEthernet0/1  # 电信接口
   health-check CTN
   weight 100
  match interface GigabitEthernet0/2  # 联通接口
   health-check CTN
   weight 50
  method weighted-round-robin
  persistent enable source-ip

# 3. 配置NAT联动
nat policy
 rule name OUTBOUND
  from trust
  to untrust
  source any
  destination any
  service any
  action source-nat interface
  load-balance LB1

---

六、链路切换验证方法

1. 手动测试切换：

   bash

   复制

   下载

   # 华为/华三
   shutdown interface GigabitEthernet1/0/1  # 禁用主线路
   display ip routing-table  # 查看路由切换
   
   # 深信服/天融信
   在WEB界面手动禁用主链路接口

2. 自动切换指标：

   • 延迟 > 150ms 持续10秒

   • 丢包率 > 20% 持续15秒

   • HTTP检测连续3次失败

3. 切换时间对比：

   厂商	切换时间	会话保持支持
   华三	<3秒	是
   华为	<2秒	是
   深信服	<5秒	是
   天融信	<4秒	是

---

七、最佳实践建议

1. 健康检测优化：

   • 同时使用ICMP+TCP+HTTP检测

   • 检测目标选择多个公共DNS（114.114.114.114, 8.8.8.8）

   • 检测频率：5-10秒

2. 带宽管理策略：

   图表

   代码

   下载

   保障带宽

   动态分配

   带宽不足时降级

   关键业务

   视频会议/ERP

   普通业务

   网页浏览/邮件

   文件下载

3. 故障切换演练：

   • 每月执行1次手动切换测试

   • 每季度模拟线路故障测试

   • 记录切换日志和业务影响

4. 安全加固：

   • 启用防IP欺骗（uRPF）

   • 配置DDOS防护阈值

   • 限制单IP最大会话数

注：各厂商配置细节可能因软件版本不同存在差异，建议以官方文档为准。实际部署前应在测试环境验证策略有效性。