防火墙的智能选路

• 智能选路介绍

• 智能选路实验

---

 

 一. 防火墙智能选路介绍

1. 智能选路概述

（1）应用场景：企业网络部署出口经常会部署多条出口链路，以增加出口的带宽和可靠性。出口流量的合理分配可以依靠防火墙的智能选路进行设置

（2）防火墙的智能选路主要功能

• 全局选路策略：当FW上存在多条等价路由时，全局选路策略根据带宽、链路质量、权重、优先级动态选择出接口
• 策略路由：用户自定义制定的策略进行路由转发
• ISP选路（基于ISP路由的选路）：通过ISP选路功能可以实现流量运营商转发，防止跨运营商导致多余的路由
• 健康检查：FW可以感知服务器/链路的状态变化，保证流量的正确传输

2. 全局选路策略

（1）根据链路带宽负载分担

根据链路带宽比例对流量进行等比转发；如有3个ISP出口，分别为ISP1，ISP2，ISP3.如果带宽比例为3：2：1，选择本条策略后，ISP出口流量比例也是3：2：1

设置链路保护阈值；当某一条ISP链路的链路使用率达到阈值后，已建立会话的流量连续不变，没建立会话的流量选择其他没达到阈值的IPS链路。全部过阈值依照原比例发送

（2）根据链路质量负载分担

根据链路质量对流量进行依次转发；如有3个ISP出口，分别为ISP1，ISP2，ISP3.如果链路质量(丢包率/时延/时延抖动)分别为10%，40%，90%.链路会只往ISP1出口发送流量

设置链路保护阈值，当ISP1达到阈值后再选择ISP2，以此类推；主要依靠的是链路探测表进行质量记录；探测表老化进行质量探测

（3）根据链路权重负载分担

根据链路权重比例对流量进行等比转发；如果3个ISP出口，分别为ISP1，ISP2，ISP3.如果权重比例为3：2：1，选择本条策略后，ISP出口流量比例也为3：2：1

设置链路保护阈值；当某一条ISP链路的链路使用率达到阈值后，此链路不会被分配流量，FW会在剩余链路进行等比转发

（4）根据链路优先级主备备份；如有3个ISP出口，分别为ISP1，ISP2，ISP3.如果链路优先级分别为8：6：2.链路会优先使用ISP1出口发送流量

当优先级最高链路ISP1故障时，会选择次优的ISP2进行流量转发

设置链路保护阈值；当优先级最高的链路ISP1达到阈值后，次优的ISP2与ISP1一起分担流量，以此类推

（5）会话保持

当接口链路的带宽利用率达到过载保护的阈值后，FW对新流量进行智能选路时排除该过载链路，造成会话中断，IP变换的现象

启用会话保护功能，建立会话保护表。流量命中了会话保持表会依照指定出口进行转发

3. 策略路由

（1）概述：策略路由是一种依据用户指定的策略进行转发的机制；主要分为匹配条件，动作两个步骤

（2）匹配条件：源安全区域；入接口；IP/MAC地址；用户；服务类型；应用类型；DSCP优先级

（3）动作：匹配指定吓一跳设备；匹配指定出接口；利用智能选路功能；匹配指定虚拟系统；不做路由策略

（4）当创建多条策略路由规则时，优先级为匹配顺序

4. ISP路由

（1）概述：ISP路由是根据ISP地址文件对目的IP地址与其对应的ISP运营商一对一传输，保证流量转发的最短路径

（2）实现原理：配置ISP选路功能前，管理员需要把每个ISP网络内的IP地址分别写入不同的csv文件（ISP地址文件），然后将文件导入FW；指定出接口与运营商名称关联后，FW就会批量生成到此运营商的路由。优先级70

5. 健康检查

（1）健康检查原理

防火墙可以根据不同类型的目的设备发送相应协议的探测报文，通过分析应答报文即可判断链路/服务的可用性

探测协议（可选）：DNS，HTTP，ICMP，RADIUS，TCP，TCP（简单探测）

（2）健康检查搭配使用

• 全局选路+健康检查
• ISP路由+健康检查

二. 智能选路实验（Web配置）

 1. 实验TOP

 

 

 

 

 

 

 

 

 

 2. 实验要求

（1）Trust能访问unTrust；unTrust不能访问Trust；

（2）由于ISP1质量与带宽比较好，ISP2质量与带宽较差。为了最大程度利用ISP线路，配置ISP1流量通过占比为60%，ISP2通过流量比例都为40%

（3）由于192.168.30.0/24网段是属于业务部，业务部对于流量质量需求较大，业务部传输出去的流量走ISP1出口

3. 实验步骤

（1）网络连通

•  开启FW服务器Web管理页面

华为防火墙默认账号：admin 密码：Admin@123
Cloud配置；绑定添加的环回网卡

 

 防火墙端口需要与主机网卡在一个网段（因为是直连的）

[FW1-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0
[FW1-GigabitEthernet0/0/0]service-manage all permit

浏览器访问接口IP地址

 

•  按照端口规划配置防火墙接口IP地址与区域

在网络—接口页面设置：IP地址；区域；以及接口带宽；接口阈值

 

 

 

 防火墙接口IP；区域配置

 

•  配置外网路由器的IP地址与OSPF动态路由

ISP1配置

[ISP1-GigabitEthernet0/0/0]ip address 1.1.1.2 255.0.0.0

[ISP1-GigabitEthernet0/0/1]ip address 3.3.3.1 255.0.0.0

[ISP1]ospf 1

[ISP1-ospf-1]area 0

[ISP1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.255.255.255

[ISP1-ospf-1-area-0.0.0.0]network 3.3.3.0 0.255.255.255

[ISP1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.1

ISP2配置

[ISP2-GigabitEthernet0/0/0]ip address 2.2.2.2 255.0.0.0

[ISP2-GigabitEthernet0/0/1]ip address 3.3.3.2 255.0.0.0

[ISP2]ospf 1

[ISP2-ospf-1]area 0

[ISP2-ospf-1-area-0.0.0.0]network 2.2.2.0 0.255.255.255

[ISP2-ospf-1-area-0.0.0.0]network 3.3.3.0 0.255.255.255

[ISP2]ip route-static 0.0.0.0 0.0.0.0 2.2.2.1

• 配置设备IP地址

PC1：3.3.3.200

PC2：192.168.10.200

PC3：192.168.30.200

PC4：192.168.20.200

Server1：3.3.3.100 　　服务：FTP HTTP

Client2：192.168.10.100

Client3：192.168.30.100

 

（2）区域划分，策略设置

• NAT出口策略

 

•  安全策略

（3）配置健康检查机制

 

 

 

（4）配置全局选路策略

 

 

（5）配置策略路由