防火墙——智能选路讲解
目录基本概念全局智能选路策略路由智能选路ISP选路DNS透明代理智能DNS辅助技术会话保持链路质量检查链路健康检查智能选路流程基本概念简介随着业务的不断发展,企业为例提高出口链路的带宽和可靠性,一般会在出口部署多条链路。智能选路技术可以根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择最优链路,提高了链路资源的利用率和用户体验。智能选路分类智能选路主要分为出战智能选路和入站智能选路两种出战智能选路:全局智能选路、策略路由智能选路、ISP选路。 DNS透明代理(修改DNS请求报文,指导内网如何出战)入站智能选路:智能DNS(修改回应DNS请求的报文,指导外网用户如何入站)全局智能选路在多出口场景下,当到达目的网络有多条等价路由或缺省路由时,全局选路策略可以根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择出接口。全局智能选路方式根据链路带宽负载分担在各条链路的出接口上配置入方向和出方向的带宽与过载保护阈值,按照各链路的带宽比例将流量分配到各条链路上 https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939584878022656.png?appid=esc_zh根据链路质量负载分担根据链路的丢包率、时延、时延抖动(选其中的一个或多个参数)衡量链路质量,有限使用链路质量高的链路转发流量,当链路流量超过了过载保护阈值后使用质量次之的链路。三个参数中,丢包率的优先级最高(即当两条链路的丢包率、时延、时延抖动都不相同时,选取丢包率最小的链路为质量高的链路) https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939585259704320.png?appid=esc_zh根据链路权重负载分担在各条链路的出接口上配置权重,按照权重比例将流量分配到各条链路上 https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939585482002432.png?appid=esc_zh根据链路优先级主备备份/负载分担在各条链路的出接口上配置优先级,优先级最高的接口称为主接口,其余称为备用接口。分为主备备份和负载分担两种情况
[*]主备备份:优先使用主接口转发,当流量超过保护阈值也不会使用其他链路传输流量,除非主接口出现故障。
[*]负载分担:优先使用主接口转发,当流量超过保护阈值后使用其他链路传输流量
https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939585821741056.png?appid=esc_zh策略路由智能选路先选择目的网络对应的策略路由,再选择对应的出接口
[*]当到达目的网络有多条策略路由时,根据策略路由的匹配条件与顺序选择对应的策略路由
[*]当流量命中策略路由,策略路由只有一个出接口时,直接从此出接口出去
[*]当流量命中策略路由,策略路由有多个出接口时,根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择出接口。
策略路由匹配条件匹配条件可以将要做策略路由的流量区分开1.匹配条件中的源安全区域与入接口为必选项(但是只能配置两者中的一个)2.源/目地址、用户、服务、应用、时间段、DSCP优先级都为可选项策略路由匹配规则当有多个策略路由时,按照策略路由列表的顺序依次匹配策略路由。越靠前越优先每条策略路由包含多个匹配条件,每个条件之间是“与”的关系一个匹配条件可以配置多个值,每个值之间是“或”的关系策略路由动作1.匹配条件的流量依照策略路由的出接口转发 单个出接口----直接从此接口转发 多个出接口----依照智能选路功能,从多个出接口选则性转发(同全局智能选路的方式)2.匹配条件的流量转发到其他虚拟系统3.匹配条件的流量不做策略路由,按照现有的路由表进行转发。
ISP选路ISP选路也称为运行商地址库选路,当FW作为出口网关设备连接多个ISP网络时,通过批量生成到运营商网络的ISP路由实现访问特定ISP网络的流量从相应的出接口转发,保证流量转发使用最短路径,提高转发效率。ISP选路场景ISP选路单独使用场景如果用户希望根据报文目的地址所属ISP网络选择相应的出接口,不会绕道其它ISP,使用此场景ISP选路+策略路由组合使用场景如果用户希望根据报文目的地址所属ISP网络选择相应的出接口,并根据多出口策略路由进行智能的选路(例如:当此ISP链路过阈值时切换到其他ISP链路上转发流量),实现链路资源的合理利用,可以使用该场景ISP选路+DNS透明代理组合使用场景+(全局、策略路由可选)当内网用户通过域名访问Web服务器时,可以使用该场景DNS透明代理背景当内网用户通过域名访问外网Web服务器时,需要通过外网DNS服务器进行DNS解析,如果企业用户配置的DNS服务器地址都是ISP1内的DNS服务器,这就会导致所有的DNS请求都走ISP1链路,ISP2链路空闲。简介DNS透明代理就解决了此问题,通过制定DNS透明代理策略,对命中策略的DNS请求报文修改其目的地址(即将DNS请求服务器的地址更换到ISP2),然后上网流量就可以通过不同的ISP链路转发,充分利用了所用链路资源 https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939586018873344.png?appid=esc_zh
DNS透明代理策略通过策略定义哪些流量需要做DNS透明代理匹配条件:只有DNS请求报文的源地址和目的地址(如果不选则表示所有的DNS请求报文都匹配)匹配动作:做代理、不做代理DNS透明代理处理流程1.当匹配代理策略,动作为做代理后,查看是否在排除域名中2.在排除域名中,不做DNS透明代理,结束 如果在排除域名中指定了地址,则替换请求目的地址 如果没有指定地址,正常转发https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939586232782848.png?appid=esc_zh
3.不在排除域名中,打上DNS透明代理标记,进行DN透明代理选路4.可以根据策略路由智能选路/全局智能选路/静态、动态路由选路/DNS透明代理自身配置的选路方式进行选路,找到出接口5.如果出接口绑定了DNS服务器地址,则DNS请求的目的地址就转为此IP地址 https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939586438303744.png?appid=esc_zh
智能DNS背景企业内网部署DNS服务器,当外网通过域名访问企业内网Web服务器时,通过内网的DNS服务器解析出Web服务器的公网IP地址(假设此公网IP地址属于ISP1),但是当ISP2的用户访问此Web服务器时,就需要绕到ISP1进行访问,这样就可能导致ISP1网络阻塞,ISP2网络闲置。简介智能DNS功能,根据智能DNS映射表,将DNS回应报文中的解析地址进行修改(如果果之前时ISP1的公网地址1.1.1.1,则可以修改为ISP2的公网地址2.2.2.2),保证流量最短路径,业务体验最优。实现智能DNS方式出接口方式:只会返回一个服务器的地址给每个用户智能轮询方式:通过简单轮询或加权轮询算法按照一定的权重比例给用户分配不同的解析地址智能DNS分类单服务器智能DNS 企业内网只部署一台Web服务器(企业内网的DNS服务器上的一个Web域名与一个Web IP地址对应) https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939586656407552.png?appid=esc_zh
多服务器智能DNS 企业内网部署多台Web服务器(企业内网的DNS服务器上的一个Web域名与多个Web IP地址对应) https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939586878705664.png?appid=esc_zh
注意事项智能DNS功能需要配合NAT Server功能和源进源出功能一起使用
[*]通过NAT Server功能,将访问报文的目的地址由公网地址映射为Web服务器的私网地址。(如果Web服务器配置的地址为公网IP地址,则不用配置NAT Server)
[*]通过源进源出功能,可以保证转发DNS响应报文时,直接使用入接口作为DNS响应报文的出接口,而不是通过查找路由表来确定出接口,避免报文来回路径不一致导致访问速度慢或业务中断等问题。
辅助技术会话保持一般在全局智能选路中的四种选路方式下、策略路由多出口的四种选路方式下配置会话保持功能在上网用户流量首次选择了某链路后,会生成相应的会话保持表项,接下来的流量就按照此表项记录的链路进行转发(即使此链路已经过了保护阈值)。会话保持方式:源IP、目的IP两种方式链路质量检查一般在全局智能选路——根据链路质量负载分担方式、策略路由多出口——根据链路质量负载分担方式下使用在链路可行的前提下进行探测,得到链路的丢包率、时延、时延抖动等链路信息探测协议:简单TCP、ICMP两种协议链路健康检查当接口为智能选路的成员接口时,可以在接口下应用健康检查检查链路的可行性探测协议:TCP、简单TCP(无需完成三次握手)、ICMP、HTTP、DNS、RADIUS六种协议智能选路流程https://forum.huawei.com/enterprise/api/file/v1/small/thread/580939587105198080.png?appid=esc_zh
页:
[1]