pfSense book之多WAN

多WAN 連接

章節(jié)目錄：

• 多WAN術(shù)語和概念

• 策略路由，負(fù)載均衡和故障轉(zhuǎn)移策略

• 多WAN注意事項(xiàng)

• 多WAN要求概述

• 負(fù)載平衡和故障切換網(wǎng)關(guān)組

• 接口和DNS配置

• 多WAN和NAT

• 策略路由配置

• 驗(yàn)證功能

• 故障排查

• 一站式多WAN

• IPv6的多WAN

• 多鏈路的PPPoE（MLPPP）

pfSense的多WAN功能允許防火墻利用多個(gè)Internet連接來實(shí)現(xiàn)更可靠的連接和更大的吞吐量。 在進(jìn)行多WAN配置之前，防火墻必須至少正確配置兩個(gè)接口（LAN和WAN）。 pfSense能夠處理多個(gè)WAN線路，但建議不要超過12個(gè)。

所有WAN類型的接口在GUI中被相同地對(duì)待。 使用主WAN可以完成的任何操作也可以通過附加的OPT WAN接口完成。 主WAN和其他廣域網(wǎng)之間沒有明顯的差異。

本章首先介紹實(shí)施多WAN解決方案時(shí)要考慮的問題，然后介紹使用pfSense進(jìn)行多WAN配置。

選擇Internet連接

如果有多個(gè)Internet連接，建議選擇不同的電信運(yùn)營(yíng)商，以滿足多線冗余的要求。一個(gè)運(yùn)營(yíng)商的多WAN沒有任何意義，如果一根光纜被挖斷，則所有的連接都會(huì)中斷。

多WAN術(shù)語和概念

本節(jié)介紹pfSense部署多WAN功能的術(shù)語和概念。

WAN接口類型

WAN接口是可以直接或間接訪問互聯(lián)網(wǎng)的接口。 pfsense會(huì)將有網(wǎng)關(guān)的任何接口都視為WAN。 如果沒有網(wǎng)關(guān)，則該接口被視為本地接口。 不要在本地接口上設(shè)置任何網(wǎng)關(guān)。 動(dòng)態(tài)IP地址接口（如DHCP和PPPoE）自動(dòng)接收動(dòng)態(tài)網(wǎng)關(guān)，會(huì)始終被視為WAN。

接口配置上網(wǎng)關(guān)的存在可以通過多種方式改變接口上的防火墻行為。 例如，具有網(wǎng)關(guān)組的接口在它的防火墻規(guī)則上響應(yīng)，它們會(huì)被用作自動(dòng)和混合出站NAT的退出接口，并且它們也被流量×××向?qū)б暈閃AN。

注意

本地和其他接口可能會(huì)在System > Routing下有定義的網(wǎng)關(guān)，只要該接口不在接口配置下選擇網(wǎng)關(guān)就不會(huì)有什么影響，例如“Interfaces > LAN。

策略路由

策略路由是指多于目標(biāo)IP地址的流量通過不同網(wǎng)關(guān)的方法，與大多數(shù)操作系統(tǒng)和路由器中的路由表一樣。 這是通過使用某種策略，通常是防火墻規(guī)則或訪問控制列表來實(shí)現(xiàn)的。 在pfSense中，編輯或添加防火墻規(guī)則時(shí)通過使用不同的網(wǎng)關(guān)來使用策略路由。 網(wǎng)關(guān)包含在System > Routing下防火墻上定義的所有網(wǎng)關(guān)，和任何網(wǎng)關(guān)組。

策略路由提供了將流量引導(dǎo)到適當(dāng)?shù)腤AN接口或其他網(wǎng)關(guān)的強(qiáng)大手段，它允許防火墻規(guī)則匹配的任何內(nèi)容， 如通過特定的主機(jī)，子網(wǎng)，協(xié)議等來引導(dǎo)流量。

注意

請(qǐng)記住，包括策略路由規(guī)則在內(nèi)的所有防火墻規(guī)則都按照自上向下的順序處理，第一個(gè)匹配的規(guī)則將優(yōu)先執(zhí)行。

網(wǎng)關(guān)組

網(wǎng)關(guān)組是定義一組選定的網(wǎng)關(guān)，用來實(shí)現(xiàn)故障切換或負(fù)載平衡功能。 在System > Routing的Gateway Groups選項(xiàng)卡上進(jìn)行配置。

多WAN故障切換

多WAN故障切換是指僅使用一個(gè)WAN的連接，如果首選連接失敗，則切換到另一個(gè)WAN。 這可以用于兩條或多條線路的故障切換。

負(fù)載均衡

pfSense中的負(fù)載平衡允許流量以循環(huán)方式分布在多個(gè)WAN連接上。 這是在每個(gè)連接的基礎(chǔ)上完成的。 如果作為負(fù)載平衡組的某個(gè)網(wǎng)關(guān)發(fā)生故障，則改接口將被標(biāo)記為關(guān)閉，并從所有組中刪除，直至恢復(fù)。

監(jiān)視IP：配置故障轉(zhuǎn)移或負(fù)載平衡時(shí)，每個(gè)網(wǎng)關(guān)與監(jiān)視IP（Monitor IP）相關(guān)聯(lián)。 在一般的配置中，pfSense將ping此IP地址，如果停止響應(yīng)，則改接口標(biāo)記為關(guān)閉。 網(wǎng)關(guān)組中的選項(xiàng)可以選擇不同的故障觸發(fā)器，如丟包、高延遲、分組丟包或高延遲的組合、或者掉線。

如何認(rèn)定網(wǎng)關(guān)故障?

認(rèn)定網(wǎng)關(guān)故障比“監(jiān)視IP發(fā)生故障，接口被標(biāo)記為關(guān)閉”要復(fù)雜一點(diǎn)。實(shí)際的故障標(biāo)準(zhǔn)取決于在創(chuàng)建網(wǎng)關(guān)組和網(wǎng)關(guān)上的各個(gè)設(shè)置時(shí)選擇的選項(xiàng)。

高級(jí)設(shè)置中會(huì)確定每個(gè)網(wǎng)關(guān)的設(shè)置，這些設(shè)置可以確定對(duì)網(wǎng)關(guān)掉線和恢復(fù)的認(rèn)定。 分組丟失，延遲，掉線時(shí)間，甚至網(wǎng)關(guān)的探測(cè)間隔和閾值都可以單獨(dú)配置。

狀態(tài)刷新/強(qiáng)制切換

當(dāng)網(wǎng)關(guān)發(fā)生故障時(shí)，pfSense可以選擇刷新所有狀態(tài)以強(qiáng)制客戶端重新連接，在這樣做時(shí)，客戶端將使用可用的網(wǎng)關(guān)，而不是已關(guān)閉的網(wǎng)關(guān)。 目前這個(gè)功能只能單向工作，這意味著它可以將連接從故障網(wǎng)關(guān)移出，但如果原始網(wǎng)關(guān)重新聯(lián)機(jī)，則無法強(qiáng)制他們返回。

這是一個(gè)可選的行為，默認(rèn)情況下啟用。

默認(rèn)網(wǎng)關(guān)切換

通過防火墻的流量將使用默認(rèn)網(wǎng)關(guān)，除非靜態(tài)路由沿著不同的路徑發(fā)送數(shù)據(jù)包。 如果默認(rèn)網(wǎng)關(guān)掉線或關(guān)閉，則防火墻上的守護(hù)程序?qū)o法進(jìn)行出站連接。 當(dāng)啟用默認(rèn)網(wǎng)關(guān)切換時(shí)，如果默認(rèn)網(wǎng)關(guān)出現(xiàn)故障，則防火墻的默認(rèn)網(wǎng)關(guān)將切換到下一個(gè)可用網(wǎng)關(guān)，然后在該WAN恢復(fù)連接時(shí)再自動(dòng)切換回來。

策略路由，負(fù)載平衡和故障轉(zhuǎn)移策略

本節(jié)提供有關(guān)常見的多WAN設(shè)置目標(biāo)以配置方法。

帶寬聚合

多WAN的主要需求之一是帶寬聚合。 通過負(fù)載平衡，pfSense可以實(shí)現(xiàn)這一目標(biāo)。 但是有一點(diǎn)值得注意：如果防火墻有兩個(gè)5Mbps的WAN線路，那么在單個(gè)客戶端連接中，它不能獲得10 Mbps的吞吐量。 每個(gè)單獨(dú)的連接只能綁定一個(gè)特定的WAN。 除了MLPPP以外的任何多WAN解決方案都是這樣。 兩個(gè)不同的互聯(lián)網(wǎng)連接的帶寬不能聚合到一個(gè)大的“管道”，而不受ISP的干擾。 通過負(fù)載平衡，由于單個(gè)連接以循環(huán)方式進(jìn)行平衡，所以僅在涉及多個(gè)連接時(shí)才能使用兩個(gè)5 Mbps線路實(shí)現(xiàn)10 Mbps的吞吐量。 利用多個(gè)連接的應(yīng)用程序（如訊雷）將能實(shí)現(xiàn)兩個(gè)或多個(gè)連接的組合吞吐能力。

注意

多鏈路PPPoE（MLPPP）是唯一可以實(shí)現(xiàn)捆綁中所有線路的全集合帶寬的WAN類型，但需要ISP的特殊支持。在具有訪問互聯(lián)網(wǎng)的眾多內(nèi)部機(jī)器的網(wǎng)絡(luò)中，通過平衡所有WAN接口的許多內(nèi)部連接，負(fù)載平衡將達(dá)到接近聚合吞吐量的速率。

優(yōu)先服務(wù)的分離

在某些情況下，會(huì)有兩個(gè)不同連接質(zhì)量的線路。在這種情況下，不同的網(wǎng)絡(luò)服務(wù)可以通過優(yōu)先級(jí)的設(shè)定在兩個(gè)Internet連接之間進(jìn)行分離。高優(yōu)先級(jí)服務(wù)可能包括VoIP，以及流向特定網(wǎng)絡(luò)的流量，如外包應(yīng)用程序提供商，或關(guān)鍵應(yīng)用程序使用的特定協(xié)議等。低優(yōu)先級(jí)流量通常包括與高優(yōu)先級(jí)流量列表不匹配的任何允許流量。策略路由規(guī)則可以設(shè)置為將高優(yōu)先級(jí)流量引導(dǎo)到高質(zhì)量的Internet連接，而較低優(yōu)先級(jí)的業(yè)務(wù)通過較低質(zhì)量的Internet連接。

在企業(yè)應(yīng)用中，可以優(yōu)先保證如辦公OA網(wǎng)絡(luò)使用高質(zhì)量的Internet連接。

僅故障切換

當(dāng)一部分Internet連接出現(xiàn)故障時(shí)，使用故障切換是最佳做法。 部分pfSense用戶具有低帶寬限制的輔助備份Internet連接，例如3G調(diào)制解調(diào)器，在主連接失敗時(shí)可以使用該連接，可以將該連接配置為故障切換網(wǎng)關(guān)組，以實(shí)現(xiàn)這個(gè)目標(biāo)。

故障切換的另一個(gè)用法是確保某個(gè)協(xié)議或目的地始終只使用一個(gè)WAN，除非它失效。

負(fù)載平衡的權(quán)重

可以通過在網(wǎng)關(guān)上設(shè)置適當(dāng)?shù)摹皐eight”（權(quán)重）來實(shí)現(xiàn)不平均的負(fù)載平衡。  權(quán)重值可以從1到30。

這里要注意的是，這個(gè)配置只考慮平衡連接數(shù)，不考慮接口吞吐量。  也意味著如果使用單個(gè)高吞吐量連接將接口帶寬使用到上限，其他連接仍會(huì)被引導(dǎo)到這個(gè)接口。

多WAN注意事項(xiàng)

本節(jié)包含pfSense中特定于多WAN的注意事項(xiàng)。

多個(gè)WAN共享一個(gè)網(wǎng)關(guān)IP

由于pf處理多WAN連接的方式，pfSense將每個(gè)WAN網(wǎng)關(guān)視為唯一IP地址，流量只能使用線路的網(wǎng)關(guān)IP地址進(jìn)行定向。

如果你的多WAN為同一ISP提供，并且在一個(gè)網(wǎng)段共用一個(gè)網(wǎng)關(guān)，要使用多WAN，必須在其中一條線路增加路由設(shè)備。如果可能的話，請(qǐng)聯(lián)系ISP，并讓它們重新配置WAN線路，讓多WAN位于不同的子網(wǎng)，以使用不同的網(wǎng)關(guān)。

PPP型WAN（如PPPoE）能夠在多個(gè)接口上使用相同的網(wǎng)關(guān)，但是每個(gè)網(wǎng)關(guān)條目必須配置使用不同的監(jiān)視IP。

多個(gè)PPPoE WAN

當(dāng)存在來自同一ISP的多個(gè)PPPoE線路并且ISP支持多鏈路PPPoE（MLPPP）時(shí)，可以將線路綁定到單個(gè)聚合鏈路中。 這個(gè)綁定鏈路在一個(gè)廣域網(wǎng)中將所有線路的總帶寬合并在一起。

本地服務(wù)和多WAN

本地服務(wù)和多WAN的注意事項(xiàng)，因?yàn)閺姆阑饓Ρ旧戆l(fā)起的任何流量都不會(huì)受到內(nèi)部接口規(guī)則配置的策略路由的影響。 來自防火墻本身的流量始終遵循系統(tǒng)的路由表。 因此，在使用其他WAN接口的情況下，需要使用靜態(tài)路由，否則只能使用具有默認(rèn)網(wǎng)關(guān)的WAN接口。

在Internet上發(fā)送的流量發(fā)往任何WAN接口的情況下，pfSense會(huì)在所有WAN類型接口規(guī)則中自動(dòng)使用pf的reply-to指令，以確保應(yīng)答流量被路由回正確的WAN接口。

DNS 解析

DNS解析器的默認(rèn)設(shè)置要求默認(rèn)網(wǎng)關(guān)切換才能正常使用多WAN。這里可以進(jìn)行一些修改，使DNS解析器適應(yīng)多WAN，包括啟用轉(zhuǎn)發(fā)模式。 

DNS 轉(zhuǎn)發(fā)

DNS轉(zhuǎn)發(fā)器使用的DNS服務(wù)器如果使用OPT WAN接口，則必須定義網(wǎng)關(guān)。

動(dòng)態(tài)DNS

可以在接口的網(wǎng)關(guān)組設(shè)置DynDNS條目。 這將在故障轉(zhuǎn)移模式的WAN之間移動(dòng)DynDNS條目，允許公共主機(jī)名在發(fā)生故障時(shí)從一個(gè)WAN轉(zhuǎn)移到另一個(gè)WAN。

IPsec

IPsec與多WAN完全兼容。 自動(dòng)添加指向特定WAN網(wǎng)關(guān)的遠(yuǎn)程隧道對(duì)等體地址的靜態(tài)路由，以確保防火墻在啟動(dòng)連接時(shí)將流量發(fā)送到正確的路徑。 對(duì)于移動(dòng)連接，客戶端始終啟動(dòng)連接，并且狀態(tài)表正確應(yīng)答路由連接。也可以使用網(wǎng)關(guān)組作為故障轉(zhuǎn)移接口來設(shè)置IPsec隧道。 

Open×××

像IPsec一樣，它可以使用任何WAN或網(wǎng)關(guān)組。

CARP  和多WAN

CARP具有多WAN功能，只要所有WAN接口使用靜態(tài)IP地址，并且每個(gè)WAN至少有三個(gè)公共IP地址可用。 

IPv6和多WAN

IPv6能夠以多WAN模式下執(zhí)行，但通常需要在一個(gè)或多個(gè)WAN上進(jìn)行網(wǎng)絡(luò)前綴翻譯（NPT）。 

多WAN設(shè)置摘要

以下簡(jiǎn)要總結(jié)了完成多WAN設(shè)置的要求：

1、在 System > Routing 的 Groups選項(xiàng)卡下創(chuàng)建網(wǎng)關(guān)組

2、配置多WAN的DNS解析器或轉(zhuǎn)發(fā)器，在System > General Setup為每個(gè)WAN網(wǎng)關(guān)設(shè)置至少一個(gè)唯一的DNS服務(wù)器

3、在LAN防火墻規(guī)則上使用網(wǎng)關(guān)組

• 使用網(wǎng)關(guān)組進(jìn)行負(fù)載平衡和故障切換

• 網(wǎng)關(guān)組是設(shè)置負(fù)載平衡或故障轉(zhuǎn)移配置所必需的。 組本身不會(huì)有任何行為，但是當(dāng)稍后使用該組時(shí)，例如在策略路由防火墻規(guī)則中，它將定義使用該組的項(xiàng)目將如何運(yùn)行。

• 
  

• 同一網(wǎng)關(guān)可以包含在多個(gè)組中，以便可以同時(shí)配置多個(gè)不同的場(chǎng)景。 例如，一些線路可以負(fù)載平衡，其他線路可以使用故障切換，并且可以通過使用不同的網(wǎng)關(guān)組在兩個(gè)配置中使用相同的WAN。

• 
  

• 兩個(gè)WAN防火墻的一個(gè)非常常見的示例設(shè)置包括三個(gè)組：

• 1、負(fù)載平衡  - WAN1和 WAN2位于同一層級(jí)

• 2、PreferWAN1 - WAN1網(wǎng)關(guān)位于層級(jí)1,  WAN2網(wǎng)關(guān)位于層級(jí)2

• 3、PreferWAN2 - WAN1網(wǎng)關(guān)位于層級(jí)2 , WAN2網(wǎng)關(guān)位于層級(jí)1

• 
  

• 配置網(wǎng)關(guān)組進(jìn)行負(fù)載平衡或故障切換

• 創(chuàng)建負(fù)載平衡或故障切換網(wǎng)關(guān)組：

• 導(dǎo)航到System > Routing, Groups選項(xiàng)卡

• 單擊  添加創(chuàng)建一個(gè)新的網(wǎng)關(guān)組

• 根據(jù)需要填寫頁(yè)面上的選項(xiàng)：

• Group Name:	網(wǎng)關(guān)組的名稱。 名稱的長(zhǎng)度必須小于32個(gè)字符，并且只能包含字母a-z，數(shù)字0-9和下劃線。 這是防火墻規(guī)則中的網(wǎng)關(guān)項(xiàng)中用于引用該網(wǎng)關(guān)組的名稱。
  Tier:	選擇組內(nèi)網(wǎng)關(guān)的優(yōu)先級(jí)。 內(nèi)部網(wǎng)關(guān)組，網(wǎng)關(guān)安排在層級(jí)中。 層級(jí)編號(hào)為1到5，首先使用低層級(jí)。層級(jí)為1的網(wǎng)關(guān)總是比層級(jí)為2的網(wǎng)關(guān)優(yōu)先使用，依此類推。
  Virtual IP:	（可選）指定用于接口的虛擬IP地址（如果存在）。 此選項(xiàng)用于Open×××等功能，允許選擇特定的虛擬地址，而不是僅在特定網(wǎng)關(guān)在組中處于活動(dòng)狀態(tài)時(shí)才直接使用接口地址。 在大多數(shù)情況下，這是默認(rèn)的接口地址。
  Trigger Level:	決定何時(shí)將網(wǎng)關(guān)標(biāo)記為關(guān)閉。 Member Down:只有當(dāng)網(wǎng)關(guān)完全關(guān)閉時(shí)，才將網(wǎng)關(guān)標(biāo)記為關(guān)閉，超過為網(wǎng)關(guān)配置的較高閾值之一或兩者。 當(dāng)網(wǎng)關(guān)完全無響應(yīng)時(shí)，這可能會(huì)遇到最嚴(yán)重的故障，但可能會(huì)錯(cuò)過更多微妙的問題，使線路在網(wǎng)關(guān)達(dá)到該級(jí)別之前可以使其無法使用。Packet Loss:當(dāng)丟包超過較低的警報(bào)閾值時(shí)，將網(wǎng)關(guān)標(biāo)記為關(guān)閉。High Latency:當(dāng)延遲超過較低的警報(bào)閾值時(shí)，將網(wǎng)關(guān)標(biāo)記為關(guān)閉。Packet Loss or High Latency:將網(wǎng)關(guān)標(biāo)記為兩種類型的警報(bào)。
  Description:	描述此網(wǎng)關(guān)組目的的文字。

• 單擊SAVE 

• 
  

• 負(fù)載平衡

• 同一層上的任何兩個(gè)網(wǎng)關(guān)都是負(fù)載平衡的。 例如，如果網(wǎng)關(guān)A，網(wǎng)關(guān)B和網(wǎng)關(guān)C都是層級(jí)1，則它們之間的連接將被平衡。 負(fù)載平衡的網(wǎng)關(guān)將自動(dòng)在彼此之間進(jìn)行故障切換。 當(dāng)某個(gè)網(wǎng)關(guān)發(fā)生故障時(shí)，它將從組中刪除，如果A，B或C中的任何一個(gè)出現(xiàn)故障，防火墻將在剩余的在線網(wǎng)關(guān)之間進(jìn)行負(fù)載平衡。

• 負(fù)載權(quán)重

• 如果兩個(gè)WAN需要以加權(quán)方式進(jìn)行平衡，因?yàn)樗鼈冎g的帶寬不同，可以通過調(diào)整網(wǎng)關(guān)上的權(quán)重參數(shù)來適應(yīng)不同程度的負(fù)載平衡。

• 故障轉(zhuǎn)移

• 較低層次的網(wǎng)關(guān)是首選的，如果它們關(guān)閉，則使用較高編號(hào)層的網(wǎng)關(guān)。 例如，如果網(wǎng)關(guān)A處于層級(jí)1，網(wǎng)關(guān)B處于層級(jí)2，網(wǎng)關(guān)C處于層級(jí)3，則首先使用網(wǎng)關(guān)A。 如果網(wǎng)關(guān)A關(guān)閉，則將使用網(wǎng)關(guān)B。如果網(wǎng)關(guān)A和網(wǎng)關(guān)B都關(guān)閉，則將使用網(wǎng)關(guān)C。

• 復(fù)雜/組合場(chǎng)景

• 通過擴(kuò)展以上關(guān)于負(fù)載平衡和故障轉(zhuǎn)移的概念，可以應(yīng)用更復(fù)雜的情況，如結(jié)合了負(fù)載平衡和故障轉(zhuǎn)移這兩個(gè)功能的應(yīng)用。 例如，如果網(wǎng)關(guān)A處于層級(jí)1，網(wǎng)關(guān)B和網(wǎng)關(guān)C處于層級(jí)2，則網(wǎng)關(guān)D在層級(jí)3上，則會(huì)出現(xiàn)以下情況：網(wǎng)關(guān)A本身是首選的。 如果網(wǎng)關(guān)A關(guān)閉，則流量將在網(wǎng)關(guān)B和網(wǎng)關(guān)C之間進(jìn)行負(fù)載平衡。如果網(wǎng)關(guān)B或網(wǎng)關(guān)C關(guān)閉，則仍將使用該層中剩余的在線網(wǎng)關(guān)。 如果網(wǎng)關(guān)A，網(wǎng)關(guān)B和網(wǎng)關(guān)C全部關(guān)閉，流量將故障切換到網(wǎng)關(guān)D。

• 
  

• 可以使用上述的任何其他組合，只要它可以排列在5層的限度內(nèi)。

• 
  

• 負(fù)載平衡問題

• 某些網(wǎng)站存儲(chǔ)會(huì)話信息，包括客戶端IP地址，如果使用不同的公網(wǎng)IP地址先后進(jìn)行連接，則該網(wǎng)站將可能無法正常訪問，如銀行和其他安全網(wǎng)站。解決方法是創(chuàng)建一個(gè)故障轉(zhuǎn)移組，并將到達(dá)這些站點(diǎn)的流量定向到故障轉(zhuǎn)移組而不是負(fù)載平衡組?；蛘邽樗蠬TTPS流量執(zhí)行故障切換或指定網(wǎng)關(guān)。

• 
  

• 接口和DNS配置

• 配置多WAN的前兩個(gè)項(xiàng)目是接口和DNS。

• 
  

• 接口配置

• 安裝主WAN，如安裝向?qū)е兴觥?然后對(duì)于其他WAN接口，執(zhí)行以下任務(wù)：

• 如果接口不存在，請(qǐng)分配接口

• 訪問每個(gè)附加WAN（例如Interfaces > OPT1）的“Interfaces”菜單項(xiàng)

• 啟用接口

• 輸入合適的名稱，如WAN2

• 根據(jù)Internet連接類型選擇所需類型的IP地址配置

• 輸入廣域網(wǎng)的其他信息，如IP地址、子網(wǎng)掩碼，并添加網(wǎng)關(guān)。

• 
  

• DNS服務(wù)器配置

• 如果DNS轉(zhuǎn)發(fā)器正在使用，或者DNS轉(zhuǎn)發(fā)器在轉(zhuǎn)發(fā)模式下使用，pfSense必須配置來自每個(gè)WAN連接的DNS服務(wù)器，以確保它始終能夠解析DNS。 如果內(nèi)部網(wǎng)絡(luò)使用防火墻進(jìn)行DNS解析，這一點(diǎn)尤為重要。

• 
  

• 如果僅使用單個(gè)WAN的DNS服務(wù)器，則由于DNS將不再起作用，所以WAN連接中斷將會(huì)導(dǎo)致完全的Internet中斷，而不考慮策略路由配置。

• 
  

• DNS解析器配置

• DNS解析器可以與多WAN協(xié)同工作，但具體配置取決于所需的行為和設(shè)置。

• 
  

• 如果必須使用DNSSEC，并且配置的DNS服務(wù)器不支持DNSSEC，則無法啟用轉(zhuǎn)發(fā)模式。 這仍然可以使用多WAN，但需要默認(rèn)網(wǎng)關(guān)切換。 

• 
  

• 如果DNSSEC不是此防火墻的要求，或配置的DNS服務(wù)器支持DNSSEC，則可以執(zhí)行以下步驟：

• 
  

• 在System > General Setup,下，為每個(gè)WAN至少設(shè)置一個(gè)DNS服務(wù)器

• 在Services > DNS Resolver下啟用轉(zhuǎn)發(fā)模式

• 如果配置的上游DNS服務(wù)器不支持DNSSEC，請(qǐng)取消選中啟用DNSSEC支持

• DNS服務(wù)器和靜態(tài)路由

• 在轉(zhuǎn)發(fā)模式下使用DNS轉(zhuǎn)發(fā)器或DNS解析器時(shí)，pfSense使用其路由表到達(dá)配置的DNS服務(wù)器。 這意味著沒有配置任何靜態(tài)路由，它只會(huì)使用主WAN連接到達(dá)DNS服務(wù)器。 必須為防火墻上定義的每個(gè)DNS服務(wù)器選擇網(wǎng)關(guān)，以便pfSense將使用正確的WAN接口來訪問該DNS服務(wù)器。 來自動(dòng)態(tài)網(wǎng)關(guān)的DNS服務(wù)器將自動(dòng)路由到正確的路徑。

• 
  

• 配置DNS服務(wù)器網(wǎng)關(guān)：

• 導(dǎo)航到  System > General Setup

• 為每個(gè)WAN設(shè)置至少一個(gè)唯一的DNS服務(wù)器（最多四個(gè)）

• 對(duì)于每個(gè)DNS服務(wù)器，選擇一個(gè)網(wǎng)關(guān)，以便使用特定的WAN接口

• 
  

• 注意

• 不能輸入相同的DNS服務(wù)器，每個(gè)條目必須是唯一的。

• 選擇DNS服務(wù)器的網(wǎng)關(guān)需要注意的事項(xiàng)：一是大多數(shù)ISP禁止來自網(wǎng)絡(luò)外的主機(jī)的遞歸查詢，因此當(dāng)訪問特定ISP的DNS服務(wù)器時(shí)，防火墻必須使用正確的WAN接口。其次，如果主WAN出現(xiàn)故障，并且防火墻沒有為其他DNS服務(wù)器選擇網(wǎng)關(guān)，則防火墻將失去防火墻本身的所有DNS解析能力。在這種情況下，訪問DNS會(huì)失效，因?yàn)槟J(rèn)網(wǎng)關(guān)不能到達(dá)時(shí)，所有DNS服務(wù)器將無法訪問。如果pfSense用作本地網(wǎng)絡(luò)的DNS服務(wù)器，則會(huì)導(dǎo)致DNS完全失效。

• 
  

• 當(dāng)使用禁用轉(zhuǎn)發(fā)模式的DNS解析器時(shí)，未綁定守護(hù)進(jìn)程直接與根DNS服務(wù)器和其他權(quán)威DNS服務(wù)器通信，這使得使用這種靜態(tài)路由和網(wǎng)關(guān)分配是不可能的。在這種情況下，需要選中“默認(rèn)網(wǎng)關(guān)切換”，以使未綁定守護(hù)進(jìn)程能夠維護(hù)出站連接。

• 
  

• 擴(kuò)展到多個(gè)的WAN接口

• 在pfsense的應(yīng)用實(shí)例中，有無數(shù)的用戶部署6-12個(gè)的互聯(lián)網(wǎng)連接，因?yàn)樵谟行﹪?guó)家，獲得十個(gè)256 Kb的Internet連接比一個(gè)2.5 Mb的Internet連接要便宜得多?？蛻羰褂胮fSense將大量?jī)?nèi)部機(jī)器分流平衡到10個(gè)以上的不同連接。 有關(guān)這種部署的更多信息，請(qǐng)參閱本章后面的一站式多WAN功能。

  
  

• 
  

• 多WAN 和 NAT

• 由pfSense生成的默認(rèn)NAT規(guī)則將離開WAN類型接口的任何流量轉(zhuǎn)換為該接口IP地址。 在默認(rèn)的兩個(gè)接口LAN和WAN配置中，pfSense的NAT將LAN接口的所有流量從WAN接口傳送到WAN IP地址。 添加更多WAN類型的接口可以將NAT擴(kuò)展到NAT，該流量離開該接口IP地址的WAN類型接口。 除非啟用手動(dòng)出站NAT，否則這一切都將自動(dòng)處理。

• 
  

• 策略路由防火墻規(guī)則將流量定向到所使用的WAN接口，“出站”和“1：1”NAT規(guī)則指定在離開該WAN時(shí)如何引導(dǎo)流量。

• 
  

• 多WAN和手動(dòng)出站NAT

• 如果手動(dòng)出站NAT必須與多WAN一起使用，請(qǐng)確保為所有WAN類型接口配置NAT規(guī)則。

• 多WAN和端口轉(zhuǎn)發(fā)

• 每個(gè)端口正向應(yīng)用于單個(gè)WAN接口。 給定端口可以通過使用多個(gè)端口轉(zhuǎn)發(fā)條目在多個(gè)WAN接口上打開，每個(gè)WAN接口一個(gè)。

• 最簡(jiǎn)單的方法是：

• 像往常一樣在第一個(gè)WAN連接上向前添加一個(gè)端口

• 在該條目的右側(cè)單擊 ，根據(jù)所選擇的端口向前添加另一個(gè)端口

• 將接口更改為所需的WAN

• 單擊 Save

• 在WAN類型接口規(guī)則中使用的pf中的reply-to關(guān)鍵字可以確保當(dāng)流量通過特定WAN接口進(jìn)入時(shí)，返回流量將以其進(jìn)入防火墻的方式返回。 因此，無論任何可能存在的故障轉(zhuǎn)移配置，端口轉(zhuǎn)發(fā)都可以隨時(shí)在所有WAN接口上主動(dòng)使用。 這對(duì)于郵件服務(wù)器特別有用，因?yàn)檩o助WAN上的地址可以用作備份MX，即使在主線路關(guān)閉時(shí)，站點(diǎn)也可以接收郵件。

• 多WAN和1:1 NAT

• 1：1 NAT條目專用于單個(gè)WAN接口，并且像出站NAT一樣，僅控制流量在離開接口時(shí)會(huì)發(fā)生什么。 內(nèi)部系統(tǒng)可以配置在每個(gè)WAN接口上的1：1 NAT條目，或一個(gè)或多個(gè)WAN接口上的1：1條目，并在其他WAN接口上使用默認(rèn)出站NAT。 當(dāng)配置1：1條目時(shí)，它們將總是覆蓋該特定接口的任何其他出站NAT配置。

• 
  

• 如果本地設(shè)備必須始終在特定WAN上使用1：1 NAT條目，則必須強(qiáng)制該設(shè)備的流量使用該特定WAN網(wǎng)關(guān)。

策略路由配置

根據(jù)上述步驟，pfsense的多WAN已配置完成，但如果應(yīng)用，還需要配置防火墻策略路由，才能實(shí)現(xiàn)故障切換或負(fù)載平衡功能。

注意

如果啟用了默認(rèn)網(wǎng)關(guān)切換，故障切換仍然可以在沒有策略路由的情況下運(yùn)行。

配置防火墻策略路由規(guī)則

在防火墻規(guī)則上設(shè)置網(wǎng)關(guān)將導(dǎo)致與規(guī)則匹配的流量使用所選網(wǎng)關(guān)或網(wǎng)關(guān)組，并遵循網(wǎng)關(guān)組的行為。

為策略路由配置防火墻的最簡(jiǎn)單方法是編輯LAN的現(xiàn)有默認(rèn)傳遞規(guī)則，然后在其中選擇網(wǎng)關(guān)組。 使用該規(guī)則，與LAN上的默認(rèn)通過規(guī)則匹配的任何流量將使用所選的網(wǎng)關(guān)或網(wǎng)關(guān)組。

• 導(dǎo)航到Firewall > Rules, LAN 選項(xiàng)卡

• 在具有默認(rèn)傳遞規(guī)則的行上單擊  

• 在Extra Options（額外選項(xiàng)）單擊  Display Advanced （顯示高級(jí)設(shè)置）

• 從Gateway 下拉列表中選擇所需的網(wǎng)關(guān)或網(wǎng)關(guān)組

• 單擊 Save

• 單擊Apply Changes（應(yīng)用更改）

以上就是多WAN使用的基本配置，如果需要更多的功能，則需要進(jìn)行更復(fù)雜的配置。 

旁路策略路由

如果有其他本地接口，×××，MPLS接口或必須遵循系統(tǒng)路由表的流量，則該流量必須配置為繞過策略路由。 通過制定規(guī)則來匹配相關(guān)流量，然后將該規(guī)則放置在配置了網(wǎng)關(guān)的任何規(guī)則之上，這很簡(jiǎn)單，因?yàn)橐ヅ涞牡谝粋€(gè)規(guī)則是使用的規(guī)則。

這可以通過為涵蓋所有專用網(wǎng)絡(luò)的任何RFC1918流量建立別名，然后在規(guī)則中使用別名來推廣。 別名包含192.168.0.0/16，172.16.0.0/12和10.0.0.0/8。

在旁路策略路由示例規(guī)則中，本地和×××流量繞過策略路由，HTTPS流量?jī)?yōu)先使用WAN2，所有其他流量均負(fù)載均衡：

旁路策略路由示例規(guī)則

混合故障切換和負(fù)載平衡

如圖“旁路策略路由示例規(guī)則”所示，可以通過在接口上仔細(xì)排序規(guī)則，同時(shí)使用故障切換和負(fù)載平衡。 規(guī)則從上到下處理，第一個(gè)優(yōu)先執(zhí)行。 通過在列表頂部附近放置更多的具體規(guī)則，以及底部的一般“匹配所有”樣式規(guī)則，使用不同網(wǎng)關(guān)或組的規(guī)則可以使用任意數(shù)量的不同組合。

強(qiáng)制網(wǎng)關(guān)使用

在某些情況下，流量只能使用一個(gè)網(wǎng)關(guān)，從不負(fù)載平衡或故障切換。 在此示例中，設(shè)備必須通過特定WAN退出，并在WAN失敗時(shí)丟失所有連接。

首先，將網(wǎng)關(guān)設(shè)置為將來自該設(shè)備的流量與特定WAN網(wǎng)關(guān)相匹配的防火墻規(guī)則。 如果該網(wǎng)關(guān)關(guān)閉，則該規(guī)則將如同網(wǎng)關(guān)未設(shè)置一樣起作用，因此需要進(jìn)一步進(jìn)行幾步。

在匹配流量的規(guī)則正下方添加規(guī)則，但設(shè)置為拒絕或阻止。 該規(guī)則不能設(shè)置網(wǎng)關(guān)。

接下來，配置防火墻以忽略關(guān)閉的網(wǎng)關(guān)的規(guī)則（網(wǎng)關(guān)監(jiān)控）：

• 導(dǎo)航到System > Advanced  > Miscellaneous 選項(xiàng)卡

• 選中“ Do not create rules when gateway is down（網(wǎng)關(guān)關(guān)閉時(shí)不要?jiǎng)?chuàng)建規(guī)則）”

• 單擊 Save

啟用該選項(xiàng)后，將完全省略第一條規(guī)則，直到下一個(gè)匹配規(guī)則。 這樣，當(dāng)?shù)谝粭l規(guī)則被自動(dòng)省略時(shí)，流量將被阻止規(guī)則停止。

驗(yàn)證功能

一旦配置了多WAN，那么最好的做法是測(cè)試其功能，以驗(yàn)證它是否按預(yù)期運(yùn)行。 以下部分將介紹如何測(cè)試多WAN配置的每個(gè)部分。

測(cè)試故障切換

在配置之后立即以受控的方式測(cè)試多WAN是該過程的關(guān)鍵步驟。 不要等到互聯(lián)網(wǎng)連接自動(dòng)失敗進(jìn)行第一次測(cè)試時(shí)才會(huì)發(fā)生錯(cuò)誤，只有在遇到困難和壓力的時(shí)候才能發(fā)現(xiàn)問題。

首先，導(dǎo)航到Status > Gateways，并確保所有WAN網(wǎng)關(guān)在“狀態(tài)”下以及“網(wǎng)關(guān)組”選項(xiàng)卡上顯示為“聯(lián)機(jī)”。 如果沒有，請(qǐng)驗(yàn)證是否使用了正確的監(jiān)視IP地址。

創(chuàng)建廣域網(wǎng)故障

根據(jù)所使用的Internet連接的類型，有多種方法來模擬WAN故障。對(duì)于任何類型，首先從防火墻拔下目標(biāo)WAN接口網(wǎng)線。

對(duì)于電纜和DSL連接，請(qǐng)關(guān)閉調(diào)制解調(diào)器/ CPE電源，并在單獨(dú)的測(cè)試中，從調(diào)制解調(diào)器拔下同軸電纜或電話線。對(duì)于光纖，無線和其他與pfSense之外的路由器的連接類型，請(qǐng)嘗試從路由器拔下Internet連接，并關(guān)閉路由器本身。

驗(yàn)證接口狀態(tài)

撥出WAN接口網(wǎng)線或關(guān)閉路由器電源后，刷新Status > Gateways 檢查當(dāng)前狀態(tài)。 由于網(wǎng)關(guān)監(jiān)控守護(hù)程序會(huì)注意到丟包，丟包超過配置的警報(bào)閾值，就會(huì)標(biāo)記為脫機(jī)。

驗(yàn)證負(fù)載平衡功能

本節(jié)介紹如何驗(yàn)證負(fù)載平衡配置的功能。

驗(yàn)證HTTP負(fù)載平衡

驗(yàn)證HTTP負(fù)載平衡的最簡(jiǎn)單方法是訪問顯示客戶端用于訪問站點(diǎn)的公共IP地址網(wǎng)站。如：www.ip138.com/

瀏覽器有保持打開服務(wù)器連接和緩存結(jié)果的習(xí)慣，所以最好的基于瀏覽器的測(cè)試是加載多個(gè)站點(diǎn)，或者在加載站點(diǎn)的時(shí)關(guān)閉瀏覽器窗口。在每個(gè)連接期間，如果負(fù)載平衡正常工作，則應(yīng)顯示不同的IP地址。如果網(wǎng)絡(luò)中存在其他流量，則每個(gè)頁(yè)面的加載IP地址可能不會(huì)改變。重復(fù)測(cè)試多次，IP地址應(yīng)該至少改變幾次。

如果IP地址永遠(yuǎn)不會(huì)更改，請(qǐng)嘗試幾個(gè)不同的站點(diǎn)，并確保瀏覽器確實(shí)再次請(qǐng)求頁(yè)面，而不是從其緩存讀取類容。手動(dòng)刪除緩存，關(guān)閉并重新打開瀏覽器，并嘗試使用多個(gè)Web瀏覽器是進(jìn)一步排除負(fù)載平衡配置故障。

另外，curl是一個(gè)更好的測(cè)試工具，它可以確保緩存和持久連接對(duì)結(jié)果沒有影響。

用traceroute測(cè)試負(fù)載均衡

traceroute實(shí)用程序（或Windows中的tracert）顯示了到達(dá)給定目標(biāo)的網(wǎng)絡(luò)路徑。 通過負(fù)載平衡，從防火墻后面的客戶端系統(tǒng)運(yùn)行跟蹤路由應(yīng)顯示每次嘗試采用的路徑不同。 由于跟蹤路由功能的方式，在停止跟蹤路由之后等待至少一分鐘，然后再開始另一個(gè)測(cè)試，以便狀態(tài)過期，或者每次嘗試不同的目的地。

使用流量圖

Status > Traffic Graph和系統(tǒng)面板小部件下的實(shí)時(shí)流量圖可用于顯示W(wǎng)AN接口上的實(shí)時(shí)吞吐量。 當(dāng)使用Status > Traffic Graph時(shí)，每個(gè)瀏覽器窗口只能顯示一個(gè)圖形，但可以在瀏覽器中打開其他窗口或選項(xiàng)卡，以同時(shí)查看所有WAN接口。 系統(tǒng)面板的流量圖窗口小部件允許在單個(gè)頁(yè)面上同時(shí)顯示多個(gè)接口的流量圖。 如果負(fù)載平衡正常工作，所有WAN接口上都會(huì)有流量顯示。

Status > Monitoring下的RRD流量圖對(duì)于WAN利用率的長(zhǎng)期和歷史評(píng)估很有用。

注意

帶寬使用可能不會(huì)完全平均分配，因?yàn)槎郬AN連接是簡(jiǎn)單的循環(huán)而不考慮帶寬使用。

故障排除

本節(jié)介紹多WAN最常見的一些問題，以及如何解決這些問題。

驗(yàn)證防火墻規(guī)則配置

配置多WAN時(shí)最常見的錯(cuò)誤是防火墻規(guī)則不正確。 一定要記住，第一個(gè)匹配規(guī)則優(yōu)先，任何其他規(guī)則將被忽略。 如果策略路由規(guī)則低于列表中的默認(rèn)LAN規(guī)則，則不會(huì)匹配該規(guī)則，因?yàn)樗鼘⑹紫绕ヅ淠J(rèn)的LAN規(guī)則。 

如果規(guī)則排序和配置顯示正確，有助于啟用對(duì)規(guī)則的登錄，確保適當(dāng)?shù)牟呗月酚梢?guī)則正在傳遞流量。

策略路由不適用于網(wǎng)絡(luò)流量或所有流量

當(dāng)使用可以透明捕獲HTTP流量的代理軟件（例如squid）時(shí)，它會(huì)覆蓋為該端口上的客戶端流量定義的任何策略路由。 因此，無論防火墻規(guī)則中設(shè)置了哪個(gè)網(wǎng)關(guān)，HTTP（TCP端口80）的流量仍然會(huì)通過squid并遵循防火墻的默認(rèn)路由。

故障切換不工作

如果互聯(lián)網(wǎng)連接失敗時(shí)出現(xiàn)問題，通常是因?yàn)楸O(jiān)視IP地址仍在應(yīng)答，所以防火墻認(rèn)為連接仍然可用。 檢查Status > Gateways 進(jìn)行驗(yàn)證。 調(diào)制解調(diào)器上的IP地址可以用作監(jiān)視IP地址，即使互聯(lián)網(wǎng)連接斷開，它仍然可以訪問。

負(fù)載平衡不起作用

檢查網(wǎng)關(guān)組是否正確配置為負(fù)載平衡，同一層上至少有兩個(gè)網(wǎng)關(guān)。

• 檢查L(zhǎng)AN防火墻規(guī)則是否匹配正確的負(fù)載均衡網(wǎng)關(guān)組。

• 檢查組中的所有網(wǎng)關(guān)在 Status > Gateways下是否顯示為“聯(lián)機(jī)”。 標(biāo)記為“離線”的連接將不會(huì)被使用。

• 檢查測(cè)試方法。 不要使用Web瀏覽器進(jìn)行測(cè)試，請(qǐng)使用Curl進(jìn)行測(cè)試，如驗(yàn)證負(fù)載平衡中所述。

• 檢查流量是否正在使用代理服務(wù)器，或以其他方式從防火墻本身的守護(hù)進(jìn)程啟動(dòng)。

• 
  

網(wǎng)關(guān)離線不正確標(biāo)記

如果網(wǎng)關(guān)列為離線，但廣域網(wǎng)實(shí)際上正常，可以從以下幾方面進(jìn)行排隊(duì)：

首先，測(cè)試監(jiān)視IP地址是否響應(yīng)來自LAN上的客戶端設(shè)備的ping，并再次從Diagnostics > Ping進(jìn)行測(cè)試。

如果監(jiān)視IP地址丟棄沒有有效載荷的ICMP回顯請(qǐng)求報(bào)文，手動(dòng)ping可以起作用，但網(wǎng)關(guān)監(jiān)視可能不一定有效果。請(qǐng)將有效載荷設(shè)置為1或更高的值。

如果網(wǎng)關(guān)或監(jiān)視IP地址不響應(yīng)ICMP回顯請(qǐng)求，請(qǐng)輸入不同的監(jiān)視IP地址進(jìn)行測(cè)試。

如果監(jiān)視IP地址被配置為不與WAN同子網(wǎng)的DNS服務(wù)器，則靜態(tài)路由可能會(huì)導(dǎo)致沖突，并且對(duì)網(wǎng)關(guān)的回應(yīng)請(qǐng)求可能未遵循預(yù)期路徑。解決辦法：在網(wǎng)關(guān)上設(shè)置不沖突的監(jiān)視IP地址。

如果WAN上有一個(gè)出站NAT規(guī)則，那么它可能會(huì)導(dǎo)致防火墻上的流量出現(xiàn)問題，包括監(jiān)視流量，因?yàn)檫@也將來自防火墻本身的NAT流量。如果源地址更改為CARP VIP，一定會(huì)出問題。解決辦法：修復(fù)出站NAT。

如果其他一切都失敗了，線路可能真的掉線，但測(cè)試方法似乎顯示出來。驗(yàn)證接口和網(wǎng)關(guān)設(shè)置并重新運(yùn)行測(cè)試，并嘗試使用traceroute以確保流量正在離開使用預(yù)期的路徑。

Ping IP地址正常，但Web瀏覽失敗

在這種情況下，最可能的原因是DNS。 如果防火墻DNS設(shè)置與“接口”和“DNS配置”中的DNS設(shè)置不匹配，那么當(dāng)廣域網(wǎng)關(guān)閉時(shí)，客戶端可能無法解析DNS。 解決辦法：查看設(shè)置并修復(fù)發(fā)現(xiàn)的任何問題。

一站式多WAN

Cisco和其他廠商將VLAN路由器稱為“路由器”，因?yàn)樗梢允侵挥幸粋€(gè)物理網(wǎng)絡(luò)連接的功能正常的路由器。 pfSense可以以這種方式配置，使用VLAN和可進(jìn)行802.1q中繼的托管交換機(jī)。 大多數(shù)運(yùn)行超過5個(gè)WAN的部署使用這種方法來減少防火墻所需的物理接口數(shù)量。 在這種部署中，WAN接口都駐留在防火墻上的一個(gè)物理接口上，LAN網(wǎng)絡(luò)位于其他物理接口上。 圖上的多WAN廣域網(wǎng)說明了這種類型的部署。

一站式多WAN

IPv6的多WAN

如果防火墻連接到具有靜態(tài)地址的多個(gè)ISP或隧道，則可以使用IPv6多WAN。

其他

網(wǎng)關(guān)組的工作方式與IPv4的一樣，但地址族不能在組內(nèi)混合。 組必須只包含IPv4網(wǎng)關(guān)，或只包含IPv6網(wǎng)關(guān)。

在本節(jié)中，“第二WAN”是指具有IPv6連接的第二個(gè)或其他接口。 它可以是具有本機(jī)連接的實(shí)際接口，或者使用隧道代理時(shí)的隧道接口。

注意事項(xiàng)

在大多數(shù)情況下，NAT不會(huì)隨IPv6一起使用，因?yàn)橐磺卸际峭ㄟ^路由的。 這對(duì)于連接性以及能夠承擔(dān)提供商獨(dú)立（PI）地址空間和BGP對(duì)等體的企業(yè)而言非常好，但對(duì)于小型企業(yè)和家庭用戶來說，這并不適用。

網(wǎng)絡(luò)前綴翻譯（NPt）允許一個(gè)子網(wǎng)用于通過其本機(jī)WAN具有完全連接性的LAN，但也可以在附加WAN上轉(zhuǎn)換連接，因此它似乎起源于此。 雖然通過備用路徑，LAN子網(wǎng)不是真正的連接，如果主要廣域網(wǎng)關(guān)閉，那么它比沒有連接更好。

警告

這不適用于子網(wǎng)不是靜態(tài)的動(dòng)態(tài)IPv6類型，例如DHCP6-PD。

要求

要設(shè)置IPv6的多WAN，防火墻必須具有：

與兩個(gè)或多個(gè)WAN上的靜態(tài)地址的IPv6連接

在System > Routing將網(wǎng)關(guān)添加到兩個(gè)IPv6 WAN，并確認(rèn)兩者的連接。

從提供商處獲取/路徑路由/ 64

LAN使用靜態(tài)路由/ 64

設(shè)置

IPv6多WAN的設(shè)置非常接近IPv4的設(shè)置。 主要區(qū)別在于它使用NPt而不是NAT。

首先，在System > Routing，Gateway Groups選 項(xiàng)卡上，為IPv6網(wǎng)關(guān)添加網(wǎng)關(guān)組，并根據(jù)需要設(shè)置層級(jí)。 這與IPv4相同。

導(dǎo)航到System > General 為每個(gè)IPv6 WAN設(shè)置一個(gè)IPv6 DNS服務(wù)器，也與IPv4相同。

在Firewall > NAT NPT選項(xiàng)卡添加一個(gè)NPt條目，并使用以下設(shè)置:

注意

這不是廣域網(wǎng)接口本身的/ 64，它是/ 64由上游路由到該WAN上的防火墻。

這樣做是類似于IPv4的1：1 NAT，但對(duì)于整個(gè)子網(wǎng)。 當(dāng)流量離開第二個(gè)WAN時(shí)，如果它來自LAN子網(wǎng)，它將被轉(zhuǎn)換為另一個(gè)子網(wǎng)中的等效IP地址。

例如，如果防火墻在局域網(wǎng)上有 2001:xxx:yyy::/64，而在第二個(gè)WAN上有2001:aaa:bbb::/64，如果流量超出第二個(gè)WAN，則2001:xxx:yyy::5將顯示為2001:aaa:bbb::5。 

與IPv4一樣，網(wǎng)關(guān)組必須使用LAN防火墻規(guī)則。 編輯IPv6流量的LAN規(guī)則，并設(shè)置它們使用網(wǎng)關(guān)組，確保沒有網(wǎng)關(guān)設(shè)置的直接連接的子網(wǎng)/ ×××的規(guī)則，使其不被策略路由。

替代方案

一些用戶喜歡使用 fc00::/7 空間的“私有”IPv6子網(wǎng)配置LAN，并為兩個(gè)WAN設(shè)置NPt。

多鏈路PPPoE（MLPPP）

多鏈路PPPoE（MLPPP）是一種獨(dú)特的WAN選項(xiàng)，可以將來自同一ISP的多個(gè)PPPoE線路綁定在一起構(gòu)成一個(gè)較大的虛擬線路。 這意味著防火墻可以獲得捆綁中所有線路的真實(shí)總體帶寬。 例如，如果一個(gè)防火墻在捆綁中有三條5Mbit / s的DSL線路，那么它可能會(huì)從單個(gè)連接中獲得15Mbit / s的速度。

要求

MLPPP的最大障礙是ISP必須在連接到防火墻的線路上支持它。 很少有ISP愿意支持MLPPP，如果有，那么值得利用。 

設(shè)置

MLPPP的設(shè)置非常簡(jiǎn)單:

導(dǎo)航到Interfaces > Assign, PPPs 選項(xiàng)卡

• 在 PPPoE WAN上單擊 編輯條目

• 按住Ctrl鍵單擊選擇屬于同一個(gè)MLPPP的其他物理接口

• 單擊 Save

然后pfSense將嘗試使用MLPPP綁定線路。

注意事項(xiàng)

使用MLPPP的一個(gè)缺點(diǎn)是故障排除要困難得多。 統(tǒng)計(jì)數(shù)據(jù)和狀態(tài)不適用于各條線路。 要確定狀態(tài)，請(qǐng)閱讀PPP日志，因?yàn)檫€沒有一種單獨(dú)查詢線路的方法。 在某些情況下，線路是否關(guān)閉是很明顯的，因?yàn)檎{(diào)制解調(diào)器可能會(huì)出現(xiàn)明顯的問題（不同步）或最大可達(dá)到的帶寬減少。

翻譯自pfsense book

2017-9-27