防火墙的静态路由
常见路由协议概述
? 静态路由,静态路由多出口
? 动态路由
? 按作用范围分为
1) IGP路由:RIP、OSPF、ISIS
2) EGP路由:BGP
? 按使用算法分为
3) 链路状态协议:OSPF、ISIS
4) 距离矢量协议:RIP、BGP
? 策略路由、ISP选路
路由协议优先级
? 当存在多个路由信息源时,具有最高优先级的路由协议发现的路由将成为当前路由
? 默认在华为中,动态优先级优于静态
静态路由基本概念
? 配置静态路由可以在路由选择中实施非常精确的控制,但是当网络发生变化或故障时需要管理员重新进行手工配置
语法: ip route-static 目标地址 掩码 下一跳地址
出接口
出接口+下一跳(推荐)? 静态路由可以指定出接口或指定下一跳地址
? 指定出接口场景
1) PPP接口
2) PPPoE接口
? 指定下一跳地址场景
1) NBMA接口
2) 以太网接口
3) Virtual-template
静态路由与多出口
? 多出口指的是USG通过多个接口连接到Internet或其他网络,多个接口之间形成主备备份或负载分担关系,从而提高了业务的可靠性
? 多出口功能生效的前提条件是USG上存在多条等价路由
? 多出口支持的模式有
? 主备模式
? 负载分担模式
1) 均衡式负载分担(缺省模式)
2) 溢出式负载分担
主备模式
? 在主备备份方式下,最多支持为主接口指定3个从接口,但是同一时间只有一个接口传输流量,具体工作流程如下
1) 为主接口指定从接口,并设定从接口的优先级。从接口会被设备自动置于Down状态
2) 主接口正常工作时,所有流量都通过主接口传输。即使流量超负荷,从接口也不传输流量
3) 当主接口故障时,设备会自动启动一个优先级最高、状态可用的从接口承担主接口的所有流量。如果从接口也发生故障,设备会启动另一个可用的次高优先级的从接口以此类推
4) 当原先故障的主接口恢复正常时流量会重新切换到主接口。从接口重新处于Down状态
? 主备备份方式的多出口只能检测出直连链路的故障,当主接口上行非直连链路故障时无法检测,设备不会进行主备接口切换
负载分担模式
? 在防火墙上面指定到达intetnet的两条路由同时转发数据流量 也就是两条链路东西工作
逐流与逐包报文分担方式
? 逐流转发(缺省情况下逐流转发)
1) 逐流转发以流为单位,同一条数据流的报文从同一个接口转发,不同的数据流根据一定的算法选择接口 逐流转发能保证包顺序,但不能保证带宽利用率
? 逐包转发
1) 逐包转发以报文为单位,轮询选择接口。同一条数据流的报文不一定从同一个接口转发。逐包转发能保证带宽利用率,但不能保证包的顺序
2) 逐包转发可能会导致报文来回路径不一致,这会对依赖于状态检测的特性或者场景的正常使用有影响(比如NAT)。 当需要保证报文来回路径一致的情况下请不要选择逐包负载分担方式
均衡式负载分担
? 在均衡式负载分担方式下,所有接口同时承担流量。USG最多支持8个接口进行负载分担
? 均衡式负载分担的流量分担方法有两种
1) 按百分比负载分担:也称为按权重负载分担,接口上设置的负载分担百分比越大,该接口承担的流量就越大
2) 按分担方式负载分担:按照选择的Hash方式进行负载分担,可以选择源IP地址、源端口、目的IP地址和目的端口四个元素中的一个或者多个进行Hash值计算。然后根据这个值选择一个接口传输流量
? 配置举例
溢出式负载分担
? 溢出式负载分担是结合主备方式
? 在溢出式负载分担方式下,最多支持为主接口指定3个从接口,具体工作流程如下
1) 为主接口指定从接口,并设定从接口的优先级
2) 当主接口流量超出预先设定的上限阈值时,设备会自动启动一个优先级最高、状态可用的从接口与主接口一起进行负载分担
3) 如果主接口的流量再次超出上限阈值,设备会启动另一个可用的次高优先级的从接口,在这三个接口间进行负载分担。以此类推
4) 如果所有从接口都被启用了,主接口流量即使超出上限阈值也只能在所有主从接口间负载分担
5) 当主接口流量小于设定的下限阈值时,设备关闭一个优先级最低的从接口。以此类推,直到仅剩主接口承担流量
? 配置举例
原文地址:https://blog.51cto.com/13817711/2483573