防火墙的智能选路
-
智能选路介绍
-
智能选路实验
一. 防火墙智能选路介绍
1. 智能选路概述
(1)应用场景:企业网络部署出口经常会部署多条出口链路,以增加出口的带宽和可靠性。出口流量的合理分配可以依靠防火墙的智能选路进行设置
(2)防火墙的智能选路主要功能
- 全局选路策略:当FW上存在多条等价路由时,全局选路策略根据带宽、链路质量、权重、优先级动态选择出接口
- 策略路由:用户自定义制定的策略进行路由转发
- ISP选路(基于ISP路由的选路):通过ISP选路功能可以实现流量运营商转发,防止跨运营商导致多余的路由
- 健康检查:FW可以感知服务器/链路的状态变化,保证流量的正确传输
2. 全局选路策略
(1)根据链路带宽负载分担
根据链路带宽比例对流量进行等比转发;如有3个ISP出口,分别为ISP1,ISP2,ISP3.如果带宽比例为3:2:1,选择本条策略后,ISP出口流量比例也是3:2:1
设置链路保护阈值;当某一条ISP链路的链路使用率达到阈值后,已建立会话的流量连续不变,没建立会话的流量选择其他没达到阈值的IPS链路。全部过阈值依照原比例发送
(2)根据链路质量负载分担
根据链路质量对流量进行依次转发;如有3个ISP出口,分别为ISP1,ISP2,ISP3.如果链路质量(丢包率/时延/时延抖动)分别为10%,40%,90%.链路会只往ISP1出口发送流量
设置链路保护阈值,当ISP1达到阈值后再选择ISP2,以此类推;主要依靠的是链路探测表进行质量记录;探测表老化进行质量探测
(3)根据链路权重负载分担
根据链路权重比例对流量进行等比转发;如果3个ISP出口,分别为ISP1,ISP2,ISP3.如果权重比例为3:2:1,选择本条策略后,ISP出口流量比例也为3:2:1
设置链路保护阈值;当某一条ISP链路的链路使用率达到阈值后,此链路不会被分配流量,FW会在剩余链路进行等比转发
(4)根据链路优先级主备备份;如有3个ISP出口,分别为ISP1,ISP2,ISP3.如果链路优先级分别为8:6:2.链路会优先使用ISP1出口发送流量
当优先级最高链路ISP1故障时,会选择次优的ISP2进行流量转发
设置链路保护阈值;当优先级最高的链路ISP1达到阈值后,次优的ISP2与ISP1一起分担流量,以此类推
(5)会话保持
当接口链路的带宽利用率达到过载保护的阈值后,FW对新流量进行智能选路时排除该过载链路,造成会话中断,IP变换的现象
启用会话保护功能,建立会话保护表。流量命中了会话保持表会依照指定出口进行转发
3. 策略路由
(1)概述:策略路由是一种依据用户指定的策略进行转发的机制;主要分为匹配条件,动作两个步骤
(2)匹配条件:源安全区域;入接口;IP/MAC地址;用户;服务类型;应用类型;DSCP优先级
(3)动作:匹配指定吓一跳设备;匹配指定出接口;利用智能选路功能;匹配指定虚拟系统;不做路由策略
(4)当创建多条策略路由规则时,优先级为匹配顺序
4. ISP路由
(1)概述:ISP路由是根据ISP地址文件对目的IP地址与其对应的ISP运营商一对一传输,保证流量转发的最短路径
(2)实现原理:配置ISP选路功能前,管理员需要把每个ISP网络内的IP地址分别写入不同的csv文件(ISP地址文件),然后将文件导入FW;指定出接口与运营商名称关联后,FW就会批量生成到此运营商的路由。优先级70
5. 健康检查
(1)健康检查原理
防火墙可以根据不同类型的目的设备发送相应协议的探测报文,通过分析应答报文即可判断链路/服务的可用性
探测协议(可选):DNS,HTTP,ICMP,RADIUS,TCP,TCP(简单探测)
(2)健康检查搭配使用
- 全局选路+健康检查
- ISP路由+健康检查
二. 智能选路实验(Web配置)
1. 实验TOP
2. 实验要求
(1)Trust能访问unTrust;unTrust不能访问Trust;
(2)由于ISP1质量与带宽比较好,ISP2质量与带宽较差。为了最大程度利用ISP线路,配置ISP1流量通过占比为60%,ISP2通过流量比例都为40%
(3)由于192.168.30.0/24网段是属于业务部,业务部对于流量质量需求较大,业务部传输出去的流量走ISP1出口
3. 实验步骤
(1)网络连通
- 开启FW服务器Web管理页面
华为防火墙默认账号:admin 密码:Admin@123
Cloud配置;绑定添加的环回网卡
防火墙端口需要与主机网卡在一个网段(因为是直连的)
[FW1-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0
[FW1-GigabitEthernet0/0/0]service-manage all permit
浏览器访问接口IP地址
- 按照端口规划配置防火墙接口IP地址与区域
在网络—接口页面设置:IP地址;区域;以及接口带宽;接口阈值
防火墙接口IP;区域配置
- 配置外网路由器的IP地址与OSPF动态路由
ISP1配置 [ISP1-GigabitEthernet0/0/0]ip address 1.1.1.2 255.0.0.0 [ISP1-GigabitEthernet0/0/1]ip address 3.3.3.1 255.0.0.0 [ISP1]ospf 1 [ISP1-ospf-1]area 0 [ISP1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.255.255.255 [ISP1-ospf-1-area-0.0.0.0]network 3.3.3.0 0.255.255.255
[ISP1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
ISP2配置 [ISP2-GigabitEthernet0/0/0]ip address 2.2.2.2 255.0.0.0 [ISP2-GigabitEthernet0/0/1]ip address 3.3.3.2 255.0.0.0 [ISP2]ospf 1 [ISP2-ospf-1]area 0 [ISP2-ospf-1-area-0.0.0.0]network 2.2.2.0 0.255.255.255 [ISP2-ospf-1-area-0.0.0.0]network 3.3.3.0 0.255.255.255
[ISP2]ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
- 配置设备IP地址
PC1:3.3.3.200
PC2:192.168.10.200
PC3:192.168.30.200
PC4:192.168.20.200
Server1:3.3.3.100 服务:FTP HTTP
Client2:192.168.10.100
Client3:192.168.30.100
(2)区域划分,策略设置
- NAT出口策略
- 安全策略
(3)配置健康检查机制
(4)配置全局选路策略
(5)配置策略路由