pfSense多WAN設(shè)置指南

概述

本指南中描述的設(shè)置使pfSense能夠平衡或故障切換從LAN到多個Internet連接（WAN）的流量。 通過負載平衡，來自LAN的流量可以通過正常使用的WAN在基于連接的基礎(chǔ)上循環(huán)共享。 通過故障轉(zhuǎn)移，流量將超出最高優(yōu)先級的WAN，直到它掉線，然后使用下一個。 pfSense使用網(wǎng)關(guān)IP或備用監(jiān)視IP地址監(jiān)視每個WAN連接，并且如果監(jiān)視IP發(fā)生故障，它將在網(wǎng)關(guān)組中剔除該WAN使用。

摘要

在大多數(shù)設(shè)置中，只需要完成三個部分。

· 添加網(wǎng)關(guān)組 (系統(tǒng) > 路由管理，網(wǎng)關(guān)組選項卡)

· 在LAN防火墻規(guī)則上使用網(wǎng)關(guān)組

· 確保為每個WAN網(wǎng)關(guān)設(shè)置至少一個DNS服務(wù)器 （系統(tǒng) > 常規(guī)設(shè)置）

本指南使用pfsense2.34漢化版進行示例。

一、接口設(shè)置

在開始之前，請確保所有WAN類型接口都已啟用。 對于靜態(tài)IP WAN，請確保它們都具有網(wǎng)關(guān)集。并確保網(wǎng)關(guān)/監(jiān)視IP可以響應(yīng)ping，以確認每個WAN實際在線。如果已經(jīng)定義了網(wǎng)關(guān)，那么在“ 系統(tǒng)狀態(tài) > 網(wǎng)關(guān)狀態(tài)” 是可以看見的。 如果它們是綠色的，那么表示與網(wǎng)關(guān)的連接是連通的。

二、網(wǎng)關(guān)設(shè)置

確保每個WAN接口都有一個網(wǎng)關(guān)(在系統(tǒng) > 路由>網(wǎng)關(guān)選項卡上設(shè)置)

靜態(tài)IP WAN有正常的網(wǎng)關(guān)條目，DHCP / PPPoE 具有動態(tài)網(wǎng)關(guān)條目。

對于每個網(wǎng)關(guān)，有一些設(shè)置可以稍微改變他們的行為。 大多數(shù)設(shè)置應(yīng)該保留為默認值，你也可以根據(jù)需要對他們進行修改。

1、監(jiān)視IP

默認情況下，pfSense將ping網(wǎng)關(guān)以確定WAN的連接質(zhì)量。 在某些情況下，這不是一個準(zhǔn)確的措施。 例如，如果WAN網(wǎng)關(guān)實際上是本地的設(shè)備，而不是ISP網(wǎng)絡(luò)的另一端，則實際的WAN鏈路可能會關(guān)閉，并且網(wǎng)關(guān)ping不會顯示。 另外，如果ISP網(wǎng)關(guān)啟動，但ISP遇到上游故障，則只能ping通網(wǎng)關(guān)。

可以在這里輸入一個自定義的IP地址，用于確定WAN的連接質(zhì)量。 可以使用公共網(wǎng)站，Google公共DNS或Internet上響應(yīng)ping的任何IP。 缺點是，如果IP已經(jīng)脫機，或者遭受自身的故障，WAN可能會在真正關(guān)閉時被標(biāo)記。

2、比重

默認情況下，在執(zhí)行負載平衡時，同一層的所有WAN被認為是相等的。 如果WAN的速度不同，則比重參數(shù)允許系統(tǒng)給予更快的鏈接部分調(diào)整。 如果一條50Mbit的線路，另一個是10Mbit的線路，那么對它們平均分配顯然是不可取的?？梢栽O(shè)置 50MBit線路的權(quán)值為5，所以使用率為5：1，這樣就會更加平衡一些。

3、丟包/延遲閾值

每個WAN在“正?！辈僮鞣矫娑加胁煌?。 一些WAN具有低延遲并且沒有損失，連接質(zhì)量很好，當(dāng)在線路上有一些丟包或更高的延遲時，其他WAN也能正常運行。 這些字段為WAN網(wǎng)關(guān)報警而必須設(shè)置的值。 在有線電纜上，將損耗百分比提高到20以上可能會很好。 在緩慢的DSL或衛(wèi)星鏈路上，幾百ms的延遲是最好的。 可以通過查看質(zhì)量圖，了解WAN線路的相關(guān)指標(biāo)。

三、網(wǎng)關(guān)組

網(wǎng)關(guān)組 (系統(tǒng) > 路由管理 >網(wǎng)關(guān)組 )正如這個名稱所暗示的，他們組合在一起，以事先協(xié)調(diào)的方式行事， 它們可以執(zhí)行負載平衡、故障轉(zhuǎn)移或兩者的混合。

雙WAN設(shè)置的一個常見做法是使三個網(wǎng)關(guān)組用于多WAN配置：一個負載平衡，另一個用于故障轉(zhuǎn)移，一個優(yōu)先WAN。 可以擴展任意數(shù)量的WAN：使一個組優(yōu)先應(yīng)用，并對其他WAN的某些排序進行故障轉(zhuǎn)移。 這將允許選擇性地在每個WAN上進行流量以及負載平衡。

 1、層級

在網(wǎng)關(guān)組中，將每個網(wǎng)關(guān)分配給一個層級，以確定何時被使用。 較低層數(shù)是首選。 如果任意兩個網(wǎng)關(guān)位于同一層，則它們將負載平衡。 如果它們在不同的層，他們將做故障切換。 如果該層設(shè)置為“Never”，則該網(wǎng)關(guān)將不視為該網(wǎng)關(guān)組的一部分。

2、觸發(fā)條件

· 掉線

當(dāng)監(jiān)視IP 100%丟包時觸發(fā)。

· 丟包

僅當(dāng)網(wǎng)關(guān)的丟包高于其定義的閾值時觸發(fā)。

· 高延遲

僅當(dāng)網(wǎng)關(guān)延遲高于其定義的閾值時觸發(fā)。

· 丟包或高延遲

具備兩者之一就觸發(fā)。

3、負載平衡

當(dāng)兩個網(wǎng)關(guān)位于同一層時，它們將負載平衡。 這意味著在每個連接的基礎(chǔ)上，連接以循環(huán)方式在每個WAN上進行路由。 如果同一層的任何網(wǎng)關(guān)關(guān)閉，則將其從使用中移除，并且該層上的其他網(wǎng)關(guān)繼續(xù)正常運行。

4、故障轉(zhuǎn)移

當(dāng)兩個網(wǎng)關(guān)位于不同的層時，較低層級的網(wǎng)關(guān)是首選。 如果下層網(wǎng)關(guān)掉線，則將其從使用中移除，并使用下一個最高層網(wǎng)關(guān)。

5、組合

由于層級系統(tǒng)，可能有任意數(shù)量的負載平衡和故障轉(zhuǎn)移的組合，三個負載平衡WAN如果有一個WAN掉線，還可以使用兩個WAN繼續(xù)負載平衡，如果兩個掉線，那還可以使用一個WAN。 唯一的限制是只有5層，所以這樣的配置只能深入5層。

四、防火墻設(shè)置

定義網(wǎng)關(guān)組只是設(shè)置的一部分。 必須使用防火墻規(guī)則上的網(wǎng)關(guān)設(shè)置將流量分配給這些網(wǎng)關(guān)。

在 防火墻> 規(guī)則策略上, 在與網(wǎng)關(guān)組一起使用的LAN接口的選項卡上，編輯現(xiàn)有的通行規(guī)則并添加網(wǎng)關(guān)設(shè)置，選擇所需的網(wǎng)關(guān)，或添加新的規(guī)則。 記住，規(guī)則從上到下執(zhí)行，一旦規(guī)則匹配，則處理停止。如果使用多WAN負載平衡，記住添加多網(wǎng)關(guān)。

某些流量可以定向到具有故障轉(zhuǎn)移組的一個WAN，與另一個WAN的一些其他流量相匹配，并使得所有規(guī)則進入負載均衡。

策略路由否定：當(dāng)防火墻規(guī)則將流量引導(dǎo)到網(wǎng)關(guān)時，它會繞過防火墻上的路由表。 策略路由否定只是將流量傳遞到?jīng)]有網(wǎng)關(guān)集的其他本地或×××連接網(wǎng)絡(luò)的規(guī)則。 通過不在該規(guī)則上設(shè)置網(wǎng)關(guān)，它將繞過網(wǎng)關(guān)組并使用防火墻上的路由表。 這些規(guī)則應(yīng)該在列表的頂部，或者至少高于使用網(wǎng)關(guān)的任何規(guī)則。

五、出站NAT

如果使用手動出站NAT，則必須為第二個WAN添加規(guī)則。 如果遵循上述指導(dǎo)原則，則自動出站NAT不需要調(diào)整。

六、注意事項

每個WAN上至少應(yīng)有一個DNS服務(wù)器進行正確解析。 這可以通過在“系統(tǒng) >常規(guī)選項”下編輯DNS服務(wù)器并為每個DNS服務(wù)器挑選網(wǎng)關(guān)來實現(xiàn)。 確保為特定WAN選擇的DNS服務(wù)器正常工作，系統(tǒng)的DNS轉(zhuǎn)發(fā)器將同時查詢所有DNS服務(wù)器，因此不會受到WAN故障的影響。如果DNS服務(wù)器在客戶端上進行了設(shè)置，則沒有此限制。但因為防火墻本身的服務(wù)仍然需要DNS，如果沒有可正常使用的的DNS服務(wù)器，將會影響防火墻的相關(guān)服務(wù)。

七、本地服務(wù)

默認情況下，使用Squid等代理的流量將繞過策略路由，并始終使用默認路由進行流量傳送。 它也繞過出站NAT，直接通過WAN IP地址離開。因此不可能進行負載平衡。 在此情況下，可以通過在系統(tǒng)> 高級選項 >附帶組件選項卡下選中默認網(wǎng)關(guān)切換來實現(xiàn)故障切換。

八、故障排除

· 檢查系統(tǒng)面板小部件上的網(wǎng)關(guān)狀態(tài)或系統(tǒng)狀態(tài) >網(wǎng)關(guān)狀態(tài)。

· 如果故障頻繁觸發(fā)，請檢查質(zhì)量圖并調(diào)整網(wǎng)關(guān)的丟包和/或延遲閾值。

· 如果本地或×××流量失敗， 請確保存在策略路由否定規(guī)則。

· 如果流量總是使用默認網(wǎng)關(guān)而不是多WAN，請檢查規(guī)則，以確保其已經(jīng)定義了網(wǎng)關(guān)。

原文地址：https://doc.pfsense.org/index.php/Multi-WAN#Troubleshooting

2017年5月31日