负载均衡IPSec协议

以下是有关如何通过VPN隧道对IPsec协议进行负载平衡以改善IPsec ESP流量的负载平衡的简短指南。公司利用IPsec虚拟专用网（VPN）在IP广域网（WAN）或Internet的两个位置之间互连，如果您尚未尝试使用此服务，则可以在https://surfshark.com/download下载VPN，负载平衡使公司可以通过等价多路径（ECMP）或链路聚合组（LAG）完全访问IPsec VPN站点之间的可用带宽。参考Ubuntu/CentOS/Debian上使用L2TP和Cisco IPsec设置IPSec VPN的方法。

设置负载均衡方法

设置以下负载平衡命令以在会话期间平衡或分发数据：

config load-balance setting

set dp-load-distribution-method {to-master | src-ip | dst-ip | src-dst-ip | src-ip-sport | dst-ip-dport | src-dst-ip-sport-dport}

end

流动规则

您可能无法平衡某些类型的数据，因此，如果您无法对某种类型的数据进行负载平衡，则将其发送到主FPM，您可以通过配置流量的流规则来做到这一点。

通过使用config load balance flow-rule命令创建流动规则，默认配置使用此命令将IKE，GRE，会话帮助程序，Kerberos，BGP，RIP，IPv4和IPv6 DHCP，PPTP，BFD，IPv4多播和IPv6多播发送到主FPM。

以下配置将所有IKE会话发送到主FPM：

config load-balance flow-rule

edit 1

set status enable

set vlan 0

set ether-type ip

set protocol udp

set src-l4port 500-500

set dst-l4port 500-500

set action forward

set forward-slot master

set priority 5

set comment "ike"

next

edit 2

set status disable

set vlan 0

set ether-type ip

set protocol udp

set src-l4port 4500-4500

set dst-l4port 0-0

set action forward

set forward-slot master

set priority 5

set comment "ike-natt src"

next

edit 3

set status disable

set vlan 0

set ether-type ip

set protocol udp

set src-l4port 0-0

set dst-l4port 4500-4500

set action forward

set forward-slot master

set priority 5

set comment "ike-natt dst"

如何确定主要FPM

主FPM执行动态路由，因此，您可以使用诊断负载平衡状态命令来选择将哪个FPM指定为主要FPM。

以下示例演示了负载平衡状态输出的诊断，它揭示了FPM（例如在插槽3中）是模块的主要FPM或主FPM：

Slot: 2 Module

FIM02: FIM04E3E16000222

Master FPM Blade: slot-3

Slot 3: FPM20E3E17900133

Status:Working Function:Active

Link: Base: Up Fabric: Up

Heartbeat: Management: Good Data: Good

Status Message: "Running"

Slot 4:

Status:Dead Function:Active

Link: Base: Up Fabric: Down

Heartbeat: Management: Failed Data: Failed

Status Message: "Waiting for management heartbeat."

IPsec VPN负载平衡

您可以使用以下命令来启用或禁用IPsec VPN负载平衡：

config load-balance setting

config ipsec-load-balance {disable | enable}

end

默认情况下，IPsec启用VPN负载平衡，并且禁用下面列出的流动规则，因此，IPsec VPN会话定向到DP2处理器，并负载均衡到FPM。但是，启用IPsec VPN负载平衡后，由于两个IPsec隧道可能在不同的FPM上终止，因此将丢弃在两个IPsec隧道之间传播的IPsec VPN会话。

因此，如果您有流量从一个IPsec VPN隧道进入设备，而使设备离开另一IPsec VPN隧道，则需要禁用IPsec负载平衡：

config load-balance setting

config ipsec-load-balance disable

end

如果禁用了IPsec VPN负载平衡，则会启用以下流动规则：

config load-balance flow-rule

edit 22

set ether-type ipv4

set protocol udp

set src-l4port 500-500

set dst-l4port 500-500

set comment "ipv4 ike"

next

edit 23

set ether-type ipv4

set protocol udp

set src-l4port 4500-4500

set comment "ipv4 ike-natt src"

next

edit 24

set ether-type ipv4

set protocol udp

set dst-l4port 4500-4500

set comment "ipv4 ike-natt dst"

next

edit 25

set ether-type ipv4

set protocol esp

set comment "ipv4 esp"

next

end

这些流动规则通常应处理VPN隧道协议的所有IPsec VPN通信，如果您的IPsec VPN设置与默认流动规则不兼容，您还可以调整它们或添加自己的流动规则。

GTP负载平衡

您可以使用以下命令来启用或禁用GTP负载平衡：

config load-balance setting

config gtp-load-balance {disable | enable}

end

默认情况下，此选项为禁用，并且GTP负载平衡为禁用，启用以下流动规则，并将GTP流量定向到主要（主）FPM：

config load-balance flow-rule

edit 17

set ether-type ipv4

set protocol udp

set dst-l4port 2123-2123

set comment "gtp-c to master blade"

next

end

启用gtp-load-balance选项时，将禁用GTP负载平衡为流动规则，并且GTP会话将定向到DP2处理器，并进行负载平衡到FPM。

无法进行负载平衡的流量的默认配置

建议使用以下流动规则来处理无法负载均衡的常见流量形式，这些流动规则将GPRS（端口2123），SSL VPN，IPv4和IPv6 IPsec VPN，ICMP和ICMPv6通信发送到主（或主）FPM。

以下CLI语法仅显示配置更改，所有其他选项均设置为其默认值。例如，控制会话发送到的FPM插槽的流动规则选项是前向插槽，并且在所有情况下，在前向插槽下方，都将其设置为默认值master，此设置将匹配的会话发送到主（或主）FPM：

config load-balance flow-rule

edit 20

set status enable

set ether-type ipv4

set protocol udp

set dst-l4port 2123-2123

next

edit 21

set status enable

set ether-type ip

set protocol tcp

set dst-l4port 10443-10443

set comment "ssl vpn to the primary FPM"

next

edit 22

set status enable

set ether-type ipv4

set protocol udp

set src-l4port 500-500

set dst-l4port 500-500

set comment "ipv4 ike"

next

edit 23

set status enable

set ether-type ipv4

set protocol udp

set src-l4port 4500-4500

set comment "ipv4 ike-natt src"

next

edit 24

set status enable

set ether-type ipv4

set protocol udp

set dst-l4port 4500-4500

set comment "ipv4 ike-natt dst"

next

edit 25

set status enable

set ether-type ipv4

set protocol esp

set comment "ipv4 esp"

next

edit 26

set status enable

set ether-type ipv6

set protocol udp

set src-l4port 500-500

set dst-l4port 500-500

set comment "ipv6 ike"

next

edit 27

set status enable

set ether-type ipv6

set protocol udp

set src-l4port 4500-4500

set comment "ipv6 ike-natt src"

next

edit 28

set status enable

set ether-type ipv6

set protocol udp

set dst-l4port 4500-4500

set comment "ipv6 ike-natt dst"

next

edit 29

set status enable

set ether-type ipv6

set protocol esp

set comment "ipv6 esp"

next

edit 30

set ether-type ipv4

set protocol icmp

set comment "icmp"

next

edit 31

set status enable

set ether-type ipv6

set protocol icmpv6

set comment "icmpv6"

next

edit 32

set ether-type ipv6

set protocol 41

end

相关主题

安装Algo VPN：在云中设置个人IPSEC VPN