标签：0.0 ISP ISP1 ISP2 防火墙 智能 选路 链路

　　　　　　　　　　　　　　　　　　　　　　防火墙的智能选路

• 智能选路介绍

• 智能选路实验

---

 

 一. 防火墙智能选路介绍

1. 智能选路概述

（1）应用场景：企业网络部署出口经常会部署多条出口链路，以增加出口的带宽和可靠性。出口流量的合理分配可以依靠防火墙的智能选路进行设置

（2）防火墙的智能选路主要功能

• 全局选路策略：当FW上存在多条等价路由时，全局选路策略根据带宽、链路质量、权重、优先级动态选择出接口
• 策略路由：用户自定义制定的策略进行路由转发
• ISP选路（基于ISP路由的选路）：通过ISP选路功能可以实现流量运营商转发，防止跨运营商导致多余的路由
• 健康检查：FW可以感知服务器/链路的状态变化，保证流量的正确传输

2. 全局选路策略

（1）根据链路带宽负载分担

根据链路带宽比例对流量进行等比转发；如有3个ISP出口，分别为ISP1，ISP2，ISP3.如果带宽比例为3：2：1，选择本条策略后，ISP出口流量比例也是3：2：1

设置链路保护阈值；当某一条ISP链路的链路使用率达到阈值后，已建立会话的流量连续不变，没建立会话的流量选择其他没达到阈值的IPS链路。全部过阈值依照原比例发送

（2）根据链路质量负载分担

根据链路质量对流量进行依次转发；如有3个ISP出口，分别为ISP1，ISP2，ISP3.如果链路质量(丢包率/时延/时延抖动)分别为10%，40%，90%.链路会只往ISP1出口发送流量

设置链路保护阈值，当ISP1达到阈值后再选择ISP2，以此类推；主要依靠的是链路探测表进行质量记录；探测表老化进行质量探测

（3）根据链路权重负载分担

根据链路权重比例对流量进行等比转发；如果3个ISP出口，分别为ISP1，ISP2，ISP3.如果权重比例为3：2：1，选择本条策略后，ISP出口流量比例也为3：2：1

设置链路保护阈值；当某一条ISP链路的链路使用率达到阈值后，此链路不会被分配流量，FW会在剩余链路进行等比转发

（4）根据链路优先级主备备份；如有3个ISP出口，分别为ISP1，ISP2，ISP3.如果链路优先级分别为8：6：2.链路会优先使用ISP1出口发送流量

当优先级最高链路ISP1故障时，会选择次优的ISP2进行流量转发

设置链路保护阈值；当优先级最高的链路ISP1达到阈值后，次优的ISP2与ISP1一起分担流量，以此类推

（5）会话保持

当接口链路的带宽利用率达到过载保护的阈值后，FW对新流量进行智能选路时排除该过载链路，造成会话中断，IP变换的现象

启用会话保护功能，建立会话保护表。流量命中了会话保持表会依照指定出口进行转发

3. 策略路由

（1）概述：策略路由是一种依据用户指定的策略进行转发的机制；主要分为匹配条件，动作两个步骤

（2）匹配条件：源安全区域；入接口；IP/MAC地址；用户；服务类型；应用类型；DSCP优先级

（3）动作：匹配指定吓一跳设备；匹配指定出接口；利用智能选路功能；匹配指定虚拟系统；不做路由策略

（4）当创建多条策略路由规则时，优先级为匹配顺序

4. ISP路由

（1）概述：ISP路由是根据ISP地址文件对目的IP地址与其对应的ISP运营商一对一传输，保证流量转发的最短路径

（2）实现原理：配置ISP选路功能前，管理员需要把每个ISP网络内的IP地址分别写入不同的csv文件（ISP地址文件），然后将文件导入FW；指定出接口与运营商名称关联后，FW就会批量生成到此运营商的路由。优先级70

5. 健康检查

（1）健康检查原理

防火墙可以根据不同类型的目的设备发送相应协议的探测报文，通过分析应答报文即可判断链路/服务的可用性

探测协议（可选）：DNS，HTTP，ICMP，RADIUS，TCP，TCP（简单探测）

（2）健康检查搭配使用

• 全局选路+健康检查
• ISP路由+健康检查

二. 智能选路实验（Web配置）

 1. 实验TOP

 

 

 

 

 

 

 

 

 

 2. 实验要求

（1）Trust能访问unTrust；unTrust不能访问Trust；

（2）由于ISP1质量与带宽比较好，ISP2质量与带宽较差。为了最大程度利用ISP线路，配置ISP1流量通过占比为60%，ISP2通过流量比例都为40%

（3）由于192.168.30.0/24网段是属于业务部，业务部对于流量质量需求较大，业务部传输出去的流量走ISP1出口

3. 实验步骤

（1）网络连通

•  开启FW服务器Web管理页面

华为防火墙默认账号：admin 密码：Admin@123
Cloud配置；绑定添加的环回网卡

 

 防火墙端口需要与主机网卡在一个网段（因为是直连的）

[FW1-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0
[FW1-GigabitEthernet0/0/0]service-manage all permit

浏览器访问接口IP地址

 

•  按照端口规划配置防火墙接口IP地址与区域

在网络—接口页面设置：IP地址；区域；以及接口带宽；接口阈值

 

 

 

 防火墙接口IP；区域配置

 

•  配置外网路由器的IP地址与OSPF动态路由

ISP1配置

[ISP1-GigabitEthernet0/0/0]ip address 1.1.1.2 255.0.0.0

[ISP1-GigabitEthernet0/0/1]ip address 3.3.3.1 255.0.0.0

[ISP1]ospf 1

[ISP1-ospf-1]area 0

[ISP1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.255.255.255

[ISP1-ospf-1-area-0.0.0.0]network 3.3.3.0 0.255.255.255

[ISP1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.1

ISP2配置

[ISP2-GigabitEthernet0/0/0]ip address 2.2.2.2 255.0.0.0

[ISP2-GigabitEthernet0/0/1]ip address 3.3.3.2 255.0.0.0

[ISP2]ospf 1

[ISP2-ospf-1]area 0

[ISP2-ospf-1-area-0.0.0.0]network 2.2.2.0 0.255.255.255

[ISP2-ospf-1-area-0.0.0.0]network 3.3.3.0 0.255.255.255

[ISP2]ip route-static 0.0.0.0 0.0.0.0 2.2.2.1

• 配置设备IP地址

PC1：3.3.3.200

PC2：192.168.10.200

PC3：192.168.30.200

PC4：192.168.20.200

Server1：3.3.3.100 　　服务：FTP HTTP

Client2：192.168.10.100

Client3：192.168.30.100

 

（2）区域划分，策略设置

• NAT出口策略

 

•  安全策略

（3）配置健康检查机制

 

 

 

（4）配置全局选路策略

 

 

（5）配置策略路由

 

 

标签：0.0,ISP,ISP1,ISP2,防火墙,智能,选路,链路
来源： https://www.cnblogs.com/fifteenzz/p/15773524.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。