​ISP选路

ISP选路功能也称为运营商地址库选路功能,当FW作为出口网关设备连接多个ISP网络时,通过ISP选路功能可以使访问特定ISP网络的流量从相应出接口转发,保证流量转发使用最短路径,提高转发效率。

如下图所示,FW拥有两条属于不同ISP网络的出口链路。当内网用户访问ISP2中的Server2时,如果FW上存在等价路由,则FW可以通过路径1和路径2两条不同的路径到达Server2。其中,路径2显然不是最优路径,路径1才是用户所期望的路径。

配置ISP选路功能后,当内网用户访问Server1或Server2时,FW会根据目的地址所在ISP网络选择相应的出接口,从而使访问流量通过最短路径到达服务器。

ISP选路的原理

ISP选路是基于ISP路由的选路方式,通过批量生成到运营商网络的ISP路由实现访问特定ISP网络的报文都从相应的出接口转发。

ISP选路可以单独使用,也可以结合其他智能选路功能一起使用,具体的

使用场景分类如表1所示:

表1 ISP选路场景分类

分类

使用场景

ISP选路场景

如果用户希望访问特定ISP网络的流量从相应出接口转发,不会绕道其他ISP,可以配置ISP选路功能。

ISP选路+策略路由组合场景

如果用户希望根据报文目的地址所属ISP网络选择相应的出接口,并根据多出口策略路由进行智能的选路,实现链路资源的合理利用,可以使用该场景。

ISP选路+全局选路策略+DNS透明代理组合场景

当内网用户通过域名访问Web服务器时,可以使用该场景。通过配置DNS透明代理,可以使DNS请求报文根据选择的出接口,修改DNS请求报文的目的地址(DNS服务器地址)。通过配置ISP选路和全局选路策略,FW根据报文目的地址所属ISP网络选择相应的出接口,并根据全局选路策略,实现链路资源的合理利用。

ISP选路功能可以配合健康检查功能一起使用,保证流量不被转发到故障链路上。当健康检查的结果显示链路故障时,对应的ISP路由表项将被删除,所以流量不会命中该条路由,也就避免被转发到故障链路上。当链路状态恢复正常时,对应的ISP路由表项将重新生成,流量即可按此路由进行转发。

DNS透明代理

一般来讲,企业内网用户的客户端都会配置一个相同的DNS服务器地址,而DNS服务器通常会将域名解析成自己所在ISP内的Web服务器地址,这将导致内网用户的上网流量都集中在一个ISP的链路上转发,最终可能会造成链路拥塞,影响用户的上网体验。同时,由于其他ISP的链路资源没有被使用,也造成了资源的浪费。

为了解决上述问题,可以使用DNS透明代理功能。对于命中DNS透明代理策略的DNS请求报文,FW会根据DNS请求报文选择的出接口,修改请求报文的目的地址(DNS服务器地址),即将其修改为其他ISP内的DNS服务器地址,DNS请求被转发到不同的ISP,解析后的Web服务器地址也就属于不同的ISP,所以上网流量将通过不同的ISP链路转发,充分利用了所有链路资源。

DNS透明代理策略

管理员通过DNS透明代理策略来定义哪些DNS请求报文需要做DNS透明代理。DNS透明代理策略的具体规则如下:

  • 匹配条件只有DNS请求报文的源地址和目的地址,且均为可选,如果不选,默认为any,表示该DNS透明代理策略与任意DNS请求报文匹配,并执行配置的动作。

  • 各个匹配条件之间是“与”的关系,只有报文的属性与各个条件必须全部匹配,才认为该报文匹配这条规则。

  • 一个匹配条件中如果可以配置多个值,多个值之间是“或”的关系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件。

  • FW存在多条DNS透明代理策略时,DNS请求报文将按照策略的配置顺序依次进行匹配。

  • 只要匹配到其中一条策略,就按照此策略的动作进行处理,不再继续匹配剩余的其他策略。

此外,系统默认存在一条缺省DNS透明代理策略default,default位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作为不代理。如果所有配置的策略都未匹配,则将匹配缺省DNS透明代理策略。

DNS透明代理处理流程

当内网用户访问某个域名时,DNS透明代理功能处理报文的流程如下图所示。

处理流程的详细说明如下:

1.DNS请求报文命中DNS透明代理策略后,对于需要做DNS透明代理的报文,FW首先判断待解析的域名是否为排除域名。

  1. 如果是排除域名,FW就不会做DNS透明代理;

  2. 如果不是排除域名,FW会为报文做一个DNS透明代理标记,此标记用于后续流程的判断。

  3. 对于排除域名,如果需要更换DNS服务器来解析该域名,则FW会将DNS请求报文的目的地址修改为指定DNS服务器的地址。

2.DNS请求报文根据智能选路或者普通静态/动态路由选路选择出接口。

说明:

DNS请求报文使用以下几种方法进行选路:

  • DNS透明代理自身配置的智能选路方式

  • 策略路由智能选路或全局选路策略

  • 普通静态/动态路由选路

优先级关系为:DNS透明代理自身配置的智能选路方式> 策略路由智能选路 > 全局选路策略 > 普通静态/动态路由选路。

3.当出接口上绑定了DNS服务器,且报文有DNS透明代理标记时,FW才会做DNS透明代理。两个条件中有一个不满足时,FW都不会做DNS透明代理

说明:

FW在每个出接口上最多绑定2个DNS服务器,一个为首选DNS服务器,一个为备用DNS服务器,它们都属于该出接口直连的ISP网络。

当FW决定DNS请求报文的出接口后,DNS透明代理功能优先使用首选DNS服务器的地址替换DNS请求报文的目的地址,只有当首选DNS服务器的状态为DOWN时,才使用备用DNS服务器的地址进行替换。

通过在DNS透明代理中配置健康检查,可以判断出接口上绑定的DNS服务器是否可用,如果首选DNS服务器和备用DNS服务器都不可用,则DNS透明代理不生效。

下面以下图为例对DNS透明代理过程进行举例说明。

  1. 当DNS请求报文到达FW时,FW首先进行DNS透明代理策略的匹配。

  2. 报文命中DNS透明代理策略后,FW根据路由查询结果选择一个出接口。

  3. FW使用出接口上绑定的DNS服务器地址替换DNS请求报文的目的地址。

  4. DNS服务器将解析后的Web服务器地址返给用户,此Web服务器和DNS服务器属于同一个ISP网络。

  5. 用户根据返回的地址访问Web服务器。此时需要结合ISP选路(基于ISP路由的选路)功能,使用户能够通过Web服务器所属的ISP网络进行访问,防止发生跨ISP网络访问的情况。

配置举例

如下图所示,企业分别从ISP1和ISP2租用了一条链路,ISP1链路的带宽为100M,ISP2链路的带宽为50M。ISP1的DNS服务器地址为8.8.8.8和8.8.8.9,ISP2的DNS服务器地址为9.9.9.8和9.9.9.9。内网用户客户端的DNS服务器地址均设置为10.2.0.70。

  • 企业希望10.3.0.0/24网段内网用户的上网流量按照2:1的比例分配到ISP1和ISP2链路,保证各条链路得到充分利用且不会发生拥塞,提升内网用户的上网体验。

  • 内网用户访问域名www.example.com时,不做DNS透明代理,但是要在指定的DNS服务器(8.8.8.10)上解析该域名对应的Web服务器地址。

  • 当一条ISP链路过载(阈值为90%)时,可以使用另一条ISP链路进行流量转发。

配置思路

由于企业希望上网流量能够根据带宽比例(2:1)进行分配,所以智能选路的方式设置为根据链路带宽负载分担的全局选路策略。通过在FW上配置DNS透明代理功能,可以使内网用户的DNS请求报文按照2:1的比例分配到ISP1与ISP2的DNS服务器上。

为了保证上网流量不会绕道其他ISP,而是直接通过目的地址所在ISP网络到达Web服务器,需要配置ISP选路功能。

  1. 可选:配置健康检查功能,分别为ISP1和ISP2链路配置健康检查。

  2. 配置接口的IP地址、安全区域、网关地址、带宽和过载保护阈值,并在接口上应用健康检查。

  3. 配置ISP选路功能。制作isp1.csv和isp2.csv两个ISP地址文件,并上传到FW上。

  4. 配置DNS透明代理功能。在出接口上绑定DNS服务器地址,配置DNS透明代理策略来指定做DNS透明代理的流量,并配置要排除的域名。

  5. 配置全局选路策略。配置智能选路方式为根据链路带宽负载分担,并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。

  6. 配置基本的安全策略,允许企业内网用户访问外网资源。

操作步骤

1.配置ISP1和ISP2链路的健康检查功能。

选择“对象> 健康检查”,在“健康检查列表”区域单击“新建”,完成下图配置。

说明:

DNS透明代理功能和智能选路一起配合使用且需要同时启用DNS透明代理的健康检查和智能选路接口下的健康检查时,智能选路接口下的健康检查探测目的地址需要配置为接口绑定的DNS服务器地址,探测协议配置为DNS,以确保两处健康检查结果一致,接口链路在正常状态下可以始终支持DNS代理,避免因为DNS请求失败导致业务访问失败。

2.配置接口的IP地址和网关地址,以及接口所在链路的带宽和过载保护阈值,并应用对应的健康检查。

选择“网络> 接口”,单击待配置的接口所在行的,并做如下配置。

3.配置DNS透明代理。

  1. 选择“网络 > DNS > DNS”,单击“DNS透明代理”页签,并做如下配置。

    接口绑定DNS服务器时,启用“健康检查”。

  2. 单击“应用”。

  3. 配置内网用户访问域名www.example.com时,不做DNS透明代理,但是要在指定的DNS服务器(8.8.8.10)上解析该域名对应的Web服务器地址。

  4. 配置DNS透明代理策略。

4.配置ISP选路。

  1. 选择“网络 > 路由 > 智能选路”,单击“运营商地址库”页签,上传ISP地址文件到FW。

  2. 选择“网络 > 路由 > ISP路由”,单击“新建”页签,配置ISP选路。

5.配置全局选路策略,流量根据链路带宽负载分担。并将GigabitEthernet 0/0/1和GigabitEthernet 0/0/5加入出接口列表。

选择“网络> 路由 > 智能选路”,在“全局选路策略列表”区域,单击“配置”。

6.配置安全策略。

  1. 选择“策略 > 安全策略 > 安全策略”。

  2. 单击“新建安全策略”,按如下参数配置从trust到untrust方向的安全策略,允许业务报文通过。配置完成后单击“确定”。

名称

service

源安全区域

trust

目的安全区域

untrust

源地址/地区

10.3.0.0/24

动作

允许

防火墙的ISP选路与DNS透明代理相关推荐

  1. 防火墙DNS域名解析启用DNS透明代理

    拓扑介绍 LSW2.LSW3为公司A / B 部门的接入交换机 LSW1为公司的核心设备,负责DHCP地址下放 FW1为公司出接口设备,负责对接telecom Unicom和给公司做域名解析 AR1. ...

  2. 华为USG6306多线负载均衡、ISP选路配置记录。

    UP: 假如多链路(电信和移动)设置了过载保护,并且全局模式下为根据负载分担流量的话,可能导致企业微信发送接收消息乃至图片转圈,并且发送失败,可取消链路过载保护,改成主备模式分担,策略路由规则也是如此 ...

  3. 华为防火墙笔记-出口选路

    文章整理自<华为防火墙技术漫谈> 出口选路总述 就近选路 就近选路是由缺省路由与明细路由配合完成的选路方式,这种方式比较简单,也是最常用的.通过缺省路由可以保证企业用户数据流量都能够匹配到 ...

  4. 构建Squid代理服务器-传统代理、透明代理、反向代理

    Squid是Linux系统中最常用的一款开源代理服务软件,主要提供缓存加速和应用层过滤控制的功能,可以很好的实现HTTP.FTP.DNS查询以及SSL等应用的缓存代理. 正向代理: 根据实现的方式不同 ...

  5. 彻底理解正向代理、反向代理、透明代理

    套用古龙武侠小说套路来说,代理服务技术是一门很古老的技术,是在互联网早期出现就使用的技术.一般实现代理技术的方式就是在服务器上安装代理服务软件,让其成为一个代理服务器,从而实现代理技术.常用的代理技术 ...

  6. squid缓存服务器 ACL访问控制 传统代理 透明代理 squid日志分析 反向代理

    缓存代理概述 Squid提供了强大的代理控制机制,通过合理的设置ACL,并进行限制,可以针对源地址.目标地址.访问的URL路径.访问的时间等条件进行过滤. 作为应用层的代理服务器软件,Sqiod主要提 ...

  7. Centos7上配置安装Squid代理(主动代理,与透明代理)

    安装环境:Centos7,Windows7 centos7上安装好squid服务 centos7:172.16.0.100/24(nat),192.168.0.2/24(仅主机) windows:19 ...

  8. Squid之传统代理和透明代理解析实验步骤

    目录 一:squid概述 1.1:squid代理的作用 二:squid的代理类型 三:squid传统代理的部署 3.1: 项目介绍 3.2:部署过程 3.3:修改配置文件,编写脚本优化服务启动项 3. ...

  9. 缓存加速--Squid代理服务器应用(传统代理、透明代理)

    文章目录 一. Squid 服务基础 1.1 代理的工作机制 1.2 代理的基本类型 二. squid代理服务器(传统模式)搭建 实验目的 实验参数 实验过程 1. 手工编译安装squid 2. 修改 ...

最新文章

  1. Python多线程学习(下)
  2. OWASP Webgoat 安装和使用
  3. 笔记-项目管理基础知识-项目管理办公室(PMO)
  4. WebSoket 的广泛应用
  5. progress组件(进度条)
  6. php界面设置编码格式,php设置编码格式的方法
  7. 伦巴时间步的动作要领_军训动作要领已到,请签收
  8. 【嵌入式工程师面试高频问题】你知道SPI吗
  9. OpenCV:利用python来实现图像的直方图均衡化
  10. Objective-C中的单例模式
  11. BAT[阿里、百度、腾讯]等互联网公司数据结构面试题(一) python分析实现
  12. 树莓派4使用CSI摄像头
  13. JavaScript打飞机小游戏
  14. 2022年全球与中国ODM和EMS网络硬件行业发展趋势及投资战略分析报告
  15. 2015-10-28 C#4
  16. Java连接Sql Server的过程及遇到的问题(极端新手向)
  17. 在线教育系统网页版,观看视频直播功能更多,更适合用户学习
  18. remap中的xmap,ymap详解
  19. ElasticSearch查询地图信息(geo-point类型)
  20. 01 - 嵌入式的学习路线、职业规划:嵌入式基本知识与开发流程

热门文章

  1. ruanjianlianjimoban
  2. 设备驱动模型之class
  3. java springboot uniapp商城源码
  4. 三菱SFC程序编程心得
  5. Spark 在YARN上运行
  6. 宋鹏:微媒体联盟微信营销成功案例
  7. 调用阿里大于发送短信验证码的限制次数
  8. 自然语言处理课程学习总结
  9. 缓存的雪崩,击穿,穿透
  10. Kubernetes基于canel的网络策略