山石网科-Hillstone-PBR(策略路由)挂载URL应用经验分享篇

近期遇到一个比较普通且具有代表性的案例,特别开森的过来给大家分享下。希望大家多多支持。

特点:新接入ISP出口,将特点URL流量引入到该出口

在网络改造前的多次三方沟通后,我们给出相对完整的接入方案和操作细节,记住,这一点在网络工程师的施工过程中非常重要,必须要有的环节,否则就是极其不专业的做法。

好了,我们上菜。

当前网络拓扑图参考如下:

当前拓扑描述:

  1. 网络全冗余结构,接入纯BGP网络,物理分离管理和业务线路
  2. 网络边缘使用A/P模式部署
  3. 核心交换使用华为S9300系列虚拟化部署(CSS)
  4. 负载均衡使用思杰的netscaler高可用部署
  5. 接入使用S5700堆叠部署
  6. 未开启STP

当前拓扑优势:

自上而下不存在任何单点故障节点,标准企业级DC部署套餐

当前改造背景:

问题分析:当前出口BGP线路访问特定USA区域、韩国存在较频繁的丢包情况和大量延迟抖动,影响业务平台调用,既而影响业务部门的投诉。

新增需求分析:单独接入国际方向优化线路,使用tunnel或者专线的方式互联,将特定目标URL主机流量引入国际方向线路。

方案敲定:最终选型定位思科1841加一台扩展卡槽,部署使用VRRP模式接入核心交换区域,确保全局网络结构冗余结构不受破坏。再通过交换PBR全局挂载,使需求实现。参考图例如下:

当前拓扑描述:

省略(大家自己理解,我发现我太啰嗦了)

好,开始进入实施阶段。等等,出现问题了!!!!!!大问题。

  1. URL是域名,交换机的PBR只能指定IP地址,若域名存在智能解析(目前常见的异地灾备的必聊技术),就存在多个IP地址,或者域名本身就部署在一个pppoe获取的服务器上,又或者一个nat-pool
  2. 当前的交换机版本不支持写PBR,(PBR的配置窗口无法tab出来,打售后了解需要升级!!!)
  3. 客户不允许做任何中断的调整

紧急与用户协商解决办法。最后我提议将HK-ROUTER接入到防火墙上(防火墙产商山石网科(hillsotne)),在详细参考配置手册后,该防火墙PBR是可以写URL的,瞬间不方了!!web-ui配置参考如下:

PS:在目标中填入需要访问的域名。大赞!!

好,经过紧急协商修改后,我们的拓扑图变成了下面这个样子。

拓扑描述:

  1. 通过防火墙互联新增的HK-ROUTER
  2. 使用hillstone-PBR做需求实现

好了,这里也算是虚惊一场,我们开始实施了。结果也证明,前面的会议和讨论以及规划是非常重要的,实施阶段非常顺利。

链接特定线路的HK-ROUTER配置思路:

  1. 物理专线接入router,缺省路由指定HK侧
  2. 做一段subnet供用户使用

参考图例如下:

防火墙的CLI配置截图:-【部分关键参数已和谐,这里再次提醒大家,大家做分享做经验总结固然好,不过一定要保护好雇主的隐私和商业机密,否则会吃官司甚至进牢房】

pbr-policy "HK-router" vrouter "trust-vr"-------PBR的定义和规则配置

match id 1

src-ip 172.19.0.0/16

dst-host "ap2.x.com"

dst-host "ap1.x.com"

dst-host "login.x.com"

service "Any"

nexthop 202.1.2.3

exit

exit

ip vrouter "trust-vr"----------将PBR绑定在全局虚拟路由器上

bind pbr-policy "HK-router"

web-ui配置截图参考如下:

PS:这里提一下,我们在很多时候,都会潜意识下理解,PBR是挂在在接口下的。因为这里使用的防火墙,挂载时候也需要注意。当然也支持挂在接口,甚至支持挂载安全域,山石防火墙还是很牛X的

至此,我们的配置结束了,不过我们发现了访问有问题,为什么呢,防火墙嘛,肯定比交换机的PBR配置会多几个地方的配置。

1.域间策略放行

2.可达路由(来回)

3.NAT

大家参考如下图例理解:

结合上面提到的三个问题展开:

  1. 域间策略放行(S:DMZ  D:HK)补充完配置即可
  2. 可达路由
    HK-ROUTER并没有回指路由 172.19.0.0/16 103.10.1.2,这也就说明我们需要同行的话,必须使用NAT了。(与HK侧的沟通,不允许调整,只能自己去想办法,我晕,香港的运营商就是这么87,我服)
  3. NAT方向,从DMZ到HKzone,这里大家一定要理解这个方向问题,因为在防火墙运维经验中,我总结了一条,如果流量的方向你没弄明白,或者基本对这个没感觉,那几本会被防火墙玩惨的。

根据以上分析,我们补充了如下配置:【我使用文字描述】

1.将172.19.0.0/16访问目标域名,nat为出接口103.10.1.2

最后用户测试通过,皆大欢喜。心理暗爽!!!找项目经理要加班费去了!!!哈哈

最后再送给各位一句话,做网络工程师,一定记住细心是成功的关键!!!

——————————来自一家二级运营商的网工分享

时间: 2024-10-12 21:28:33

山石网科-Hillstone-PBR(策略路由)挂载URL应用经验分享篇的相关文章

山石网科-Hillstone-路由模式的IPSEC-VPN之配置终结篇

首先,当然第一件事情,是要理清思路了,这一点对一个工程师来讲是必须且非常重要的一步. 第一步,新建IPsec-Vpn. 第二步,配置第一阶段相关参数.(高级可选参数,DPD对端存活检测/NAT穿越都可以勾选上,这个不是协商参数) 第三步,配置第二阶段相关参数.注意(如果俩端都是山石设备,即可以不用配置代理ID,选择自动即可,若不是,请填写代理ID.PS:代理ID只是协商让IPsecUP的一项参数,并非定义感兴趣) 高级可选参数中,将自动连接.VPN隧道监测.VPN隧道状态通知勾选. 第四步,配置

山石网科-Hillstone-双ISP接入流量故障排错终结篇

各位,好久不见. 近期在维护山石网科的防火墙中遇到一个比较有代表性质的案例,故在时候拿出来和大家做简单的分享.好了,不多说. -------来自一家运营商的网工分享 背景: 山石网科设备-E2800 华为S5700-52C-EI 单ISP(CTC)线路接入 私有云+传统IDC业务混合部署 需求: 新增一条CNC-ISP出口,提升联通进出.电信进出访问的优化,杜绝单电信异网传输延迟问题,增强网络的可靠性.冗余性和健壮性,进而将数据流量访问进行合理的分配和科学的利用. 改造前拓扑: 改造前拓扑特点:

山石网科-Hillstone-PNP-VPN应用实战经验终结篇

各位晚上好自上次更新已经有了20多天没更新了罪过罪过.不过确实有一个令人振奋的消息需要主动的推送给大家.上周历经9个小时完成了Hillstone-HCSE的考试并通过了.这期间让我感触最深的就是细心和经验非常关键痴迷命令行的网工在考试中是有优势的因为命令行集中体现了思路.逻辑.快的三个特点所以这一次考试也算给自己在山石的售后近两年一个完美的交代. --------Allen 当然了今晚不是傲娇的过来说一说我考试过了也是带了一个山石特有的VPN场景的干货过来了大家都或多或少知晓市面上主流的VPN应

山石网科-Hillstone-L2TP-VPN之配置终结篇

L2TP-VPN 暂时就不做什么名词解释了.目前中小型企业使用较普遍的一种远程拨入的"action" 所以这里,我直接开始介绍咱们国产产商"山石网科"的配置方法,日后再介绍一些基于L2TP-VPN的高级应用.总之,技术是 一步一步累加的,所以先学会配置,搞清楚这个技术要实现什么目的,这个当务之急.. 第一步.首先建立一个独立的L3-zone,这里命名为[L2TP-VPN] 网络连接-安全域-新建 第二步.建立tunnel隧道接口,并把接口的zone设置为L2TP-V

山石网科-Hillstone-SC-VPN(SSL-VPN)之配置终结篇

老样子,先把需求说一下,为何要做? 有部分客户经常吐槽山石网科L2TP的不稳定,瞬断自动重连的效果也不是很好,总结"移动办公L2体验糟糕" 而基于客户端的拨号无疑把这些痛点都解决掉了,所以.我们开始上菜 第一步:在StoneOS的webUI中找到SSL-VPN,并点击NEW进入配置界面 第二步:开始真是配置SSL-VPN各项参数 SSL-VPN name:这个不解释 USER:拨入用户的授权方式(可local.可radius) Interface:顾名思义就是移动办公用户,拨入时使用的

山石网科UTM使用体验和对比

因由启明星辰UTM 升级成了山石网科UTM,这两个设备做一个大概的比较,给大家作为参考. 启明星辰UTM用了三年,因ips规则库无法升级,因此就直接更换了设备,这里对两个设备的基本功能.配置等做一个直观的比较,但不涉及的性能的详细数据比较. 系统界面对比 山石界面友好,简洁清爽,强于启明星辰.各种状态显示清晰,一目了然.尤其是流量分析这部分,比启明星辰强太多.启明星辰的流量分析基本可以忽略. 防火墙功能 防火墙由于太 成熟了,两家都差不多,该有的都有. ips功能 ips性能启明星辰明显强于山石

山石网科如何利用GRE+IPSEC+BFD进行高可用组网-经验分享篇

有些日子没过来写文章,一是最近在研究阿里云(ACP)等组网以及考试,而是也发现没有什么特别实用的技术在blog中去分享.不出意料的在上周通过了ACP的考试,发现云计算中又出现了一些的组网应用,虽然在阿里云和目前很多公司的云平台操作的时候,很难感觉到网络的存在,都是自己点一点就好了..但如果在使用的过程只是这么简单以为的话,这是会出大问题的. 比如从网络的容灾的概念中,你虽然在各大云平台得到了网络配置的最大简化体验,此时网络工程的重心就会辐射到容灾.安全.流量切换等等.这些作为但凡作为一个运维都要

山石网科-Hillstone-HA(高可用)active/standby固件版本升级终结经验篇

各位,好 我们在常见的企业边缘的网络架构中经常会遇到高可用.堆叠.VRRP等双机部署情景,那我在前面介绍的一些案例当中,基本都是双机部署,高可用的企业组网形式, 所以,基础的配置也都在前面介绍了,但是却没有介绍高可用的状态下如何升级硬件的OS的情景,这里因为在上周完成了一次(山石网科-HA)无缝迁移,所以我们这里特意总结如下思路, 与各位分享,欢迎大家参阅指正. 操作步骤:(请现场同事同时记录所有操作细节和完成时间) PS:为什么要做这一步,因为我们是一家专业的技术服务公司,所以我们队每一个步骤

山石网科-Hillstone-IPsecVPN常见故障debug排错心得终结版

嗨,各位好. 相信各位过来点开的时候会鄙视一句"这厮,又来搞山石了",哈哈没错,这次确实又来了,不过这次带了点排错的心得过来,希望给未来在常见的配置过程当中,不知道怎么排错时候有些帮助. 说句真心话,山石(hillstone)确实挺好用的,不行你可以试试!! 好了,废话少说.直接上菜 ipsec的拓扑图,我临时画了一个,目的希望各位能有图看到,不然各位心里冒出千万个草泥马"NO picture NO bb". (这万恶的水印)无关紧要,今天的主题在俩台firewal