2. 防火墙的智能选路

                      防火墙的智能选路

  • 智能选路介绍

  • 智能选路实验


 

 一. 防火墙智能选路介绍

1. 智能选路概述

(1)应用场景:企业网络部署出口经常会部署多条出口链路,以增加出口的带宽和可靠性。出口流量的合理分配可以依靠防火墙的智能选路进行设置

(2)防火墙的智能选路主要功能

  • 全局选路策略:当FW上存在多条等价路由时,全局选路策略根据带宽、链路质量、权重、优先级动态选择出接口
  • 策略路由:用户自定义制定的策略进行路由转发
  • ISP选路(基于ISP路由的选路):通过ISP选路功能可以实现流量运营商转发,防止跨运营商导致多余的路由
  • 健康检查:FW可以感知服务器/链路的状态变化,保证流量的正确传输

2. 全局选路策略

(1)根据链路带宽负载分担

根据链路带宽比例对流量进行等比转发;如有3个ISP出口,分别为ISP1,ISP2,ISP3.如果带宽比例为3:2:1,选择本条策略后,ISP出口流量比例也是3:2:1

设置链路保护阈值;当某一条ISP链路的链路使用率达到阈值后,已建立会话的流量连续不变,没建立会话的流量选择其他没达到阈值的IPS链路。全部过阈值依照原比例发送

(2)根据链路质量负载分担

根据链路质量对流量进行依次转发;如有3个ISP出口,分别为ISP1,ISP2,ISP3.如果链路质量(丢包率/时延/时延抖动)分别为10%,40%,90%.链路会只往ISP1出口发送流量

设置链路保护阈值,当ISP1达到阈值后再选择ISP2,以此类推;主要依靠的是链路探测表进行质量记录;探测表老化进行质量探测

(3)根据链路权重负载分担

根据链路权重比例对流量进行等比转发;如果3个ISP出口,分别为ISP1,ISP2,ISP3.如果权重比例为3:2:1,选择本条策略后,ISP出口流量比例也为3:2:1

设置链路保护阈值;当某一条ISP链路的链路使用率达到阈值后,此链路不会被分配流量,FW会在剩余链路进行等比转发

(4)根据链路优先级主备备份;如有3个ISP出口,分别为ISP1,ISP2,ISP3.如果链路优先级分别为8:6:2.链路会优先使用ISP1出口发送流量

当优先级最高链路ISP1故障时,会选择次优的ISP2进行流量转发

设置链路保护阈值;当优先级最高的链路ISP1达到阈值后,次优的ISP2与ISP1一起分担流量,以此类推

(5)会话保持

当接口链路的带宽利用率达到过载保护的阈值后,FW对新流量进行智能选路时排除该过载链路,造成会话中断,IP变换的现象

启用会话保护功能,建立会话保护表。流量命中了会话保持表会依照指定出口进行转发

3. 策略路由

(1)概述:策略路由是一种依据用户指定的策略进行转发的机制;主要分为匹配条件,动作两个步骤

(2)匹配条件:源安全区域;入接口;IP/MAC地址;用户;服务类型;应用类型;DSCP优先级

(3)动作:匹配指定吓一跳设备;匹配指定出接口;利用智能选路功能;匹配指定虚拟系统;不做路由策略

(4)当创建多条策略路由规则时,优先级为匹配顺序

4. ISP路由

(1)概述:ISP路由是根据ISP地址文件对目的IP地址与其对应的ISP运营商一对一传输,保证流量转发的最短路径

(2)实现原理:配置ISP选路功能前,管理员需要把每个ISP网络内的IP地址分别写入不同的csv文件(ISP地址文件),然后将文件导入FW;指定出接口与运营商名称关联后,FW就会批量生成到此运营商的路由。优先级70

5. 健康检查

(1)健康检查原理

防火墙可以根据不同类型的目的设备发送相应协议的探测报文,通过分析应答报文即可判断链路/服务的可用性

探测协议(可选):DNS,HTTP,ICMP,RADIUS,TCP,TCP(简单探测)

(2)健康检查搭配使用

  • 全局选路+健康检查
  • ISP路由+健康检查

二. 智能选路实验(Web配置)

 1. 实验TOP

2. 防火墙的智能选路

 

 

 

 

 

 

 

 

 

 2. 实验要求

(1)Trust能访问unTrust;unTrust不能访问Trust;

(2)由于ISP1质量与带宽比较好,ISP2质量与带宽较差。为了最大程度利用ISP线路,配置ISP1流量通过占比为60%,ISP2通过流量比例都为40%

(3)由于192.168.30.0/24网段是属于业务部,业务部对于流量质量需求较大,业务部传输出去的流量走ISP1出口

3. 实验步骤

(1)网络连通

  •  开启FW服务器Web管理页面
华为防火墙默认账号:admin 密码:Admin@123
Cloud配置;绑定添加的环回网卡

2. 防火墙的智能选路

 

 防火墙端口需要与主机网卡在一个网段(因为是直连的)

[FW1-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0
[FW1-GigabitEthernet0/0/0]service-manage all permit

浏览器访问接口IP地址

2. 防火墙的智能选路

 

  •  按照端口规划配置防火墙接口IP地址与区域

在网络—接口页面设置:IP地址;区域;以及接口带宽;接口阈值

2. 防火墙的智能选路

 

 2. 防火墙的智能选路

 

 防火墙接口IP;区域配置

2. 防火墙的智能选路

 

  •  配置外网路由器的IP地址与OSPF动态路由
ISP1配置

[ISP1-GigabitEthernet0/0/0]ip address 1.1.1.2 255.0.0.0

[ISP1-GigabitEthernet0/0/1]ip address 3.3.3.1 255.0.0.0

[ISP1]ospf 1

[ISP1-ospf-1]area 0

[ISP1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.255.255.255

[ISP1-ospf-1-area-0.0.0.0]network 3.3.3.0 0.255.255.255

[ISP1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
ISP2配置

[ISP2-GigabitEthernet0/0/0]ip address 2.2.2.2 255.0.0.0

[ISP2-GigabitEthernet0/0/1]ip address 3.3.3.2 255.0.0.0

[ISP2]ospf 1

[ISP2-ospf-1]area 0

[ISP2-ospf-1-area-0.0.0.0]network 2.2.2.0 0.255.255.255

[ISP2-ospf-1-area-0.0.0.0]network 3.3.3.0 0.255.255.255

[ISP2]ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
  • 配置设备IP地址

PC1:3.3.3.200

PC2:192.168.10.200

PC3:192.168.30.200

PC4:192.168.20.200

Server1:3.3.3.100   服务:FTP HTTP

Client2:192.168.10.100

Client3:192.168.30.100

 

(2)区域划分,策略设置

  • NAT出口策略

2. 防火墙的智能选路

 

  •  安全策略

2. 防火墙的智能选路

(3)配置健康检查机制

 2. 防火墙的智能选路

 

 

(4)配置全局选路策略

2. 防火墙的智能选路

 

 

(5)配置策略路由

 2. 防火墙的智能选路

 

上一篇:[转]Jira Dashboards in Confluence: 4 Easy Steps to Monitoring Jira Projects


下一篇:前端框架之Bootstrap