防火墙——智能选路讲解
目录
基本概念
简介
智能选路分类
全局智能选路
全局智能选路方式
根据链路带宽负载分担
根据链路质量负载分担
根据链路权重负载分担
根据链路优先级主备备份/负载分担
策略路由智能选路
策略路由匹配条件
策略路由匹配规则
策略路由动作
ISP选路
ISP选路场景
DNS透明代理
DNS透明代理策略
DNS透明代理处理流程
智能DNS
实现智能DNS方式
智能DNS分类
注意事项
辅助技术
会话保持
链路质量检查
链路健康检查
智能选路流程
基本概念
简介
随着业务的不断发展,企业为例提高出口链路的带宽和可靠性,一般会在出口部署多条链路。
智能选路技术可以根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择最优链路,提高了链路资源的利用率和用户体验。
智能选路分类
智能选路主要分为出战智能选路和入站智能选路两种
出战智能选路:全局智能选路、策略路由智能选路、ISP选路。 DNS透明代理(修改DNS请求报文,指导内网如何出战)
入站智能选路:智能DNS(修改回应DNS请求的报文,指导外网用户如何入站)
全局智能选路
全局智能选路链路质量负载分担实验配置_多谢思考的博客-CSDN博客
https://blog.csdn.net/m0_49864110/article/details/125150173
在多出口场景下,当到达目的网络有多条等价路由或缺省路由时,全局选路策略可以根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择出接口。
全局智能选路方式
根据链路带宽负载分担
在各条链路的出接口上配置入方向和出方向的带宽与过载保护阈值,按照各链路的带宽比例将流量分配到各条链路上
根据链路质量负载分担
根据链路的丢包率、时延、时延抖动(选其中的一个或多个参数)衡量链路质量,有限使用链路质量高的链路转发流量,当链路流量超过了过载保护阈值后使用质量次之的链路。
三个参数中,丢包率的优先级最高(即当两条链路的丢包率、时延、时延抖动都不相同时,选取丢包率最小的链路为质量高的链路)
根据链路权重负载分担
在各条链路的出接口上配置权重,按照权重比例将流量分配到各条链路上
根据链路优先级主备备份/负载分担
在各条链路的出接口上配置优先级,优先级最高的接口称为主接口,其余称为备用接口。
分为主备备份和负载分担两种情况
- 主备备份:优先使用主接口转发,当流量超过保护阈值也不会使用其他链路传输流量,除非主接口出现故障。
- 负载分担:优先使用主接口转发,当流量超过保护阈值后使用其他链路传输流量
策略路由智能选路
策略路由选路多出接口实验配置_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/125150280
先选择目的网络对应的策略路由,再选择对应的出接口
- 当到达目的网络有多条策略路由时,根据策略路由的匹配条件与顺序选择对应的策略路由
- 当流量命中策略路由,策略路由只有一个出接口时,直接从此出接口出去
- 当流量命中策略路由,策略路由有多个出接口时,根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择出接口。
策略路由匹配条件
匹配条件可以将要做策略路由的流量区分开
1.匹配条件中的源安全区域与入接口为必选项(但是只能配置两者中的一个)
2.源/目地址、用户、服务、应用、时间段、DSCP优先级都为可选项
策略路由匹配规则
当有多个策略路由时,按照策略路由列表的顺序依次匹配策略路由。越靠前越优先
每条策略路由包含多个匹配条件,每个条件之间是“与”的关系
一个匹配条件可以配置多个值,每个值之间是“或”的关系
策略路由动作
1.匹配条件的流量依照策略路由的出接口转发
单个出接口----直接从此接口转发
多个出接口----依照智能选路功能,从多个出接口选则性转发(同全局智能选路的方式)
2.匹配条件的流量转发到其他虚拟系统
3.匹配条件的流量不做策略路由,按照现有的路由表进行转发。
ISP选路
ISP选路也称为运行商地址库选路,当FW作为出口网关设备连接多个ISP网络时,通过批量生成到运营商网络的ISP路由实现访问特定ISP网络的流量从相应的出接口转发,保证流量转发使用最短路径,提高转发效率。
ISP选路场景
ISP选路单独使用场景
如果用户希望根据报文目的地址所属ISP网络选择相应的出接口,不会绕道其它ISP,使用此场景
ISP选路+策略路由组合使用场景
如果用户希望根据报文目的地址所属ISP网络选择相应的出接口,并根据多出口策略路由进行智能的选路(例如:当此ISP链路过阈值时切换到其他ISP链路上转发流量),实现链路资源的合理利用,可以使用该场景
ISP选路+DNS透明代理组合使用场景+(全局、策略路由可选)
当内网用户通过域名访问Web服务器时,可以使用该场景
DNS透明代理
ISP选路+DNS透明代理实验配置_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/125150356
背景
当内网用户通过域名访问外网Web服务器时,需要通过外网DNS服务器进行DNS解析,如果企业用户配置的DNS服务器地址都是ISP1内的DNS服务器,这就会导致所有的DNS请求都走ISP1链路,ISP2链路空闲。
简介
DNS透明代理就解决了此问题,通过制定DNS透明代理策略,对命中策略的DNS请求报文修改其目的地址(即将DNS请求服务器的地址更换到ISP2),然后上网流量就可以通过不同的ISP链路转发,充分利用了所用链路资源
DNS透明代理策略
通过策略定义哪些流量需要做DNS透明代理
匹配条件:只有DNS请求报文的源地址和目的地址(如果不选则表示所有的DNS请求报文都匹配)
匹配动作:做代理、不做代理
DNS透明代理处理流程
1.当匹配代理策略,动作为做代理后,查看是否在排除域名中
2.在排除域名中,不做DNS透明代理,结束
如果在排除域名中指定了地址,则替换请求目的地址
如果没有指定地址,正常转发
3.不在排除域名中,打上DNS透明代理标记,进行DN透明代理选路
4.可以根据策略路由智能选路/全局智能选路/静态、动态路由选路/DNS透明代理自身配置的选路方式进行选路,找到出接口
5.如果出接口绑定了DNS服务器地址,则DNS请求的目的地址就转为此IP地址
智能DNS
背景
企业内网部署DNS服务器,当外网通过域名访问企业内网Web服务器时,通过内网的DNS服务器解析出Web服务器的公网IP地址(假设此公网IP地址属于ISP1),但是当ISP2的用户访问此Web服务器时,就需要绕到ISP1进行访问,这样就可能导致ISP1网络阻塞,ISP2网络闲置。
简介
智能DNS功能,根据智能DNS映射表,将DNS回应报文中的解析地址进行修改(如果果之前时ISP1的公网地址1.1.1.1,则可以修改为ISP2的公网地址2.2.2.2),保证流量最短路径,业务体验最优。
实现智能DNS方式
出接口方式:只会返回一个服务器的地址给每个用户
智能轮询方式:通过简单轮询或加权轮询算法按照一定的权重比例给用户分配不同的解析地址
智能DNS分类
单服务器智能DNS
企业内网只部署一台Web服务器(企业内网的DNS服务器上的一个Web域名与一个Web IP地址对应)
多服务器智能DNS
企业内网部署多台Web服务器(企业内网的DNS服务器上的一个Web域名与多个Web IP地址对应)
注意事项
智能DNS功能需要配合NAT Server功能和源进源出功能一起使用
- 通过NAT Server功能,将访问报文的目的地址由公网地址映射为Web服务器的私网地址。(如果Web服务器配置的地址为公网IP地址,则不用配置NAT Server)
- 通过源进源出功能,可以保证转发DNS响应报文时,直接使用入接口作为DNS响应报文的出接口,而不是通过查找路由表来确定出接口,避免报文来回路径不一致导致访问速度慢或业务中断等问题。
辅助技术
会话保持
一般在全局智能选路中的四种选路方式下、策略路由多出口的四种选路方式下配置会话保持功能
在上网用户流量首次选择了某链路后,会生成相应的会话保持表项,接下来的流量就按照此表项记录的链路进行转发(即使此链路已经过了保护阈值)
关闭会话功能或修改会话保持模式后,FW会立即删除该智能选路策略对应的所有会话保持表项(可能导致部分用户发生链路切换)
会话保持方式:源IP、目的IP两种方式
链路质量检查
一般在全局智能选路——根据链路质量负载分担方式、策略路由多出口——根据链路质量负载分担方式下使用
在链路可行的前提下进行探测,得到链路的丢包率、时延、时延抖动等链路信息
缺省链路质量探测表是1800s
当流量命中质量探测表后,不会刷新表项老化时间
当链路质量探测表老化后,新的流量触发智能选路时需要重新进行质量探测
探测协议:简单TCP、ICMP两种协议
链路健康检查
当接口为智能选路的成员接口时,可以在接口下应用健康检查
检查链路的可行性
探测协议:TCP、简单TCP(无需完成三次握手)、ICMP、HTTP、DNS、RADIUS六种协议
智能选路流程
防火墙——智能选路讲解相关推荐
- 华为防火墙配置策略路由实现多个ISP出接口的智能选路
1.基本IP地址及连通性配置 (1)内网IP地址配置 (2)配置外网IP地址 [ISP1-GigabitEthernet0/0/0]ip add 20.1.1.2 24 [ISP1-GigabitEt ...
- 学习笔记:防火墙智能路由选路
简介 当FW作为网络出口设备拥有多条出口链路时,智能选路功能可以根据管理员设置的带宽.权重和优先级自动探测链路质量并动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验. • 全局选路策略 ...
- USG6000智能选路的功能解析
概述 它的智能选路总共分为全局和策略路由,全局选路策略的生效针对的对象主要是内网的出口接口,而且全局智能选路的接口必须起码要两个,因为全局智能选路主要的功能就是链路的流量分担,所以如果只有条链路的话, ...
- FotiGate SDWAN 简单组网,实现基于应用的智能选路
文章目录 前言 一.前期环境准备 1.设备清单 2.拓扑设计 3.桥接CMCC网络 1.连接手机热点 2.共享WLAN连接至本地物理接口 3.SDWAN 接口连接LAN4,并配置IP 4.检查桥接网络 ...
- 01-防火墙智能选路
在网络出口经常会部署多条出口链路,以增加出口的带宽和可靠性.如果不能够将流量合理的分配到链路上,可能会导致网络出现拥塞,访问速度变慢,链路资源得不到充分利用以及跨运营商访问等问题. 当FW作为网络出口 ...
- 什么是防火墙?防火墙基础知识讲解
什么是防火墙?防火墙基础知识讲解 - 云+社区 - 腾讯云 什么是防火墙 防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离.通常,防火墙可以保护内 ...
- 基于SDWAN的智能选路技术实现
基于SDWAN<夽易联>的智能选路技术实现 传统的链路优选一般基于链路开销或路由策略,无法根据实际的业务需求选择最适合的链路.RIR(Resilient Intelligent Routi ...
- H3C 路由器智能选路NQA策略
H3C 路由器智能选路NQA策略 本篇介绍H3C产品的NQA配置,配置NQA联动检测线路是否故障来达到智能切换线路. NQA概念: NQA(Network Quality Analyzer,网络质量分 ...
- 算力网络智能选路新向导
谁能帮上忙 老王最近买了个 VR 头盔,他听说用这个高科技可以和小伙伴组队玩身临其境的游戏,可以与工作小伙伴们开面对面会议,甚至还可以体验宇航员的太空工作生活.可就是有一点,这玩意比较费机器,在自己公 ...
最新文章
- 如何通俗地讲解对偶问题?尤其是拉格朗日对偶lagrangian duality?
- 怎样在两小时内搞定 OpenStack 部署?
- tcp/ip 协议栈Linux内核源码分析15 udp套接字接收流程二
- jQuery小测试系列之jQuery基础知识
- php动态删除输入框,jQuery实现动态添加和删除input框实例代码
- HUE 打开 WorkFlow异常 Operation category READ is not supported in state standby
- 3-4-多数组中位数
- c++ max函数在哪个头文件里_C语言函数学习-函数调用-声明-函数原型
- CTF常见的php函数
- C# 把文件和文件夹 放到回收站 (出现Unknown err (0x402) 无法删除 文件:无法读取源文件或磁盘 解决)
- Excel自动化报表制作
- flea-cache使用之Redis集群模式接入
- 快速搞懂htpp原理
- 自问自答(JavaScript篇)
- vue实现购物车全选,总计等功能
- html help文档制作,HTML Help Workshop(文件制作工具)
- 【Educoder作业】绘制炸弹轨迹 I——绘制一个坐标点
- java 获取 word 窗体域_办公小技巧:巧用窗体域 控制Word文档修改区
- 通过url链接将图片上传oss图片显示不完整问题
- 比较实用的免费图标字库(转)