防火墙多出口配置资料

资源描述

《防火墙多出口配置资料》由会员分享，可在线阅读，更多相关《防火墙多出口配置资料（5页珍藏版）》请在金锄头文库上搜索。

1、神州数码网络公司客户服务中心神州数码网络公司客户服务中心 1 防火墙多出口配置实例防火墙多出口配置实例目前国内的骨干网南有电信北有网通，除此之外还有移动、教育网等。考虑到不同运营商之间的通信都需要到骨干网进行数据交换，因此跨运营商访问时比较慢。由此很多大型网络设置双出口、甚至多出口来规避这个问题。本文档以某高校实际环境、实际需求为例来讲解神州数码多核防火墙在多出口环境下的配置实例。文档中涉及到目的路由、ISP 路由、源路由和策略路由，涉及到等价路由的负载均衡，路由转发权值、线路监控，还有多线路服务器映射后的逆向路由问题。一、一、网络拓扑网络拓扑及描述及描述用户环境描述：

2、用户出口设备使用神州数码 DCFW-1800E-10G 防火墙，内网主要分成宿舍子网区、教学子网区、服务应用区及服务器区。外线总共有八条，四条电信线路都是 100M 带宽，一条网通线路 100M，一条教育网线路 100M，两条移动线路都是 1G。二、二、用户需求描述用户需求描述 a) 禁止 banip_class 地址列表中地址访问外网; b) cernet_host 地址列表外的地址禁止访问 discardsite 列表中的外网地址（只有前者才能访问后者）；神州数码网络公司客户服务中心神州数码网络公司客户服务中心 2 c) cernet_host 地址列表中的地址只通过

3、教育网链路对外进行访问，同时对外访问时不做地址转换； d) 目标地址在 zdserver 列表中，使用电信 3 链路进行访问（银行或其他部分对访问地址比较严格的站点）; e) 目标地址是教育网地址段的，通过教育网链路进行访问; f) 目标地址是移动 cmhost 列表铁通 crc 列表的通过移动链路进行访问; g) 目的地址是电信段的走电信线路，其中电信 1 和其他三条按 8:10 比例； h) 目的地址是网通和 unicom 地址段的通过网通线路访问外网； i) 源地址在 hcsp 列表中的使用电信 3 链路进行访问（测试或内网特殊用户）; j) P2P 流量走移动线路; k) 考虑到八

4、条外线带宽不同转发流量时要按照实际带宽的比例转发，另外很多服务器都是通过电信 1 映射，因此电信 1 和其他电信线路流量转发按照 8:10 的比例。 l) 一旦某条链路出现故障后，该链路不再转发流量。 m) 要求内、外网用户都可以通过域名来访问映射后的服务器。三、三、需求分析需求分析下面我们将用户需求依次做下分析，并根据路由和策略类型做下分类：需求 a、b 通过防火墙策略来控制；需求 c、i 可通过源路由实现；需求 d、e、f、g、h 设置目的路由即可，考虑到地址列表中地址较多，也可手工创建 ISP，通过 ISP 路由实现；需求 j 就是走策略路由；需求 k 其实就是多线路负载均

5、衡，同时要根据线路带宽的不同设置流量转发的比例；需求 l 可在不同的外线出口通过设置监控来实现；需求 m 需要将其逆向路由关闭，必要时还需要设置策略路由。四、四、配置步骤配置步骤将用户的需求做过分析后，下面我们来看下在神州数码多核防火墙上每种需求具体是如何来配置的。 1. 策略控制需求：需求 a 禁止 banip_class 地址列表中地址访问外网;需求 b 只允许 cernet_host 地址列表中地址访问 discardsite 列表中的外网地址。防火墙默认策略为 deny，我们可以通过下面四条策略来实现用户的策略控制需求。 2. 源路由需求：需求 c、i 可通过设置

6、源路由方式来实现，针对源地址是 cernet_host 地址列表中地址指向教育网网关，针对源地址是 hcsp 地址列表中的地址指向电信 3 线路网关，下图是源路由配置的部分抓图。另外建议在工程师在配置时，可以先通过 web 方式先设置一条源路由，然后在命令行下查看命令，再将地址列表放到 txt 文档中通过替换原则完成命令配置，最终在将其粘贴到命令行中完成，这样可以节省配置时间。针对 cernet_host 地址只能从教育网路由出去，那就做一个 SNAT 神州数码网络公司客户服务中心神州数码网络公司客户服务中心 3 规则，规则中不做地址转换即可，这里不再抓图演示。 3. 目的路由/ISP 路

7、由需求：需求 d、e、f、g、h 可通过设置目的路由或者 ISP 路由方式来实现，本案例中我们采用 ISP 路由的方式。防火墙系统自带了 China-telecom 和 China-netcom 两个 ISP 路由表，China-Cernet 路由表我们可以手工上传，其他几个 ISP 如 crc、unicom、cmnet、zdserver 我们可以手工自己创建，然后将用户提供的地址加入到相应的 ISP 列表中。按用户要求调用相应的 ISP 路由表，考虑到线路带宽不同，我们也设置下等价 ISP 路由时也可以根据线路带宽设置转发比例，四条电信线路的转发比例是8:10:10:10，两条移

8、动线路的转发比例是 1:1。本案例从全局出发因此设置权值都是 100。 4. 策略路由需求：考虑到移动线路带宽较高，针对 P2P 视频和 P2P 下载我们将其引流到移动线路，可通过设置策略路由来实现。下图中我们设置了一条策略路由，其中有两条规则，策略路由的规则匹配与策略匹配相同，按照从上到下的匹配顺序，一旦匹配到不再继续往下匹配。所有我们将内网用户一分为二，将 neiwang1 用户的 P2P 流量引到移动线路 1，其余用户的 P2P 流量引流到移动线路 2。一定不要忘记将策略路由绑定到内网接口上，否则策略路由不生效。神州数码网络公司客户服务中心神州数码网络公司客户服务中心

9、 4 5. 负载均衡需求：除教育线路外的其他七条外线在设置缺省路由时，考虑到线路带宽值不同，要设置不同的权值。因此四条电信、网通及两条移动的权值比例是 8:10:10:10:10:100:100。如下图 6. 线路备份需求：当外网接口在 up 状态下，一旦该外线路运行商线路出现故障，考虑到此时与该接口相关的路由是活跃状态。此种情况下肯定会影响内网用户通过该外线的对外访问。线路备份需求就是如一旦某条外线出现了此类故障，其他线路可以分担通过该外线的流量。我们可以通过在设备外网接口设置监控来实现该功能。首先设置名为 eth0/6 的监控对象，监控对象中监控该线路网关地址，并设置从

10、 0/6 接口发探测报文。 track “eth0/6“ ip 58.20.232.1 interface ethernet0/6 下面的设备是网通外网接口下启用该监控对象。 interface ethernet0/6 zone “untrust“ ip address 58.20.*.* 255.255.255.128 monitor track “eth0/6“ 如果其他外线也需要线路备份，需要同样的设置。 7. 逆向路由需求：考虑到设备上有些源路由的设置，如果源路由地址中包含了某个服务器地址。外网用户在通过 A 链路映射后地址访问服务器时，由于设备上源路由（源路由路由优先级高于静

11、态路由）中该服务器地址指向 B 链路出去，那服务器的回包链路问题就会导致用户访问不到服务器。针对这种情况我们需要在 A 链路外网接口高级配置中将逆向路由关闭！这样对于回流数据包就会按照初始数据流会话原路返回。内网用户通过公网地址访问内网服务器也会遇到同样的问题，同样只要将内网接口的逆向路由关闭即可。但是如果针对内网用户设置了源地址从 B 链路网关出去，而再通过 A 链路映射后地址去访问服务器时，又会访问不到。这个问题的原因是由于初始数据流未能到达服务器，因此涉及不到逆向路由问题。遇到这个问题解决办法只能是通过设置比源路由优先级更高的策略路由让其初始数据流经防火墙内

12、网口通过核心交换转发即可。该用户内网有 DNS 服务器，因此内网用户通过域名来访问服务器时，解析出的地址是私网地址，不需要我们做任何设置。神州数码网络公司客户服务中心神州数码网络公司客户服务中心 5 五、五、小结小结多线路出口环境下一些注意的事项在本案例中没有提及，在小结中简要说明下。 1. 对于双线路或者多线路负载均衡条件下，内网机器手工指定的DNS地址可能不同，电信、网通、移动、教育都有可能。建议通过设置目的路由，将不同的 DNS 地址指向不同的运营商线路。避免出现使用电信线路到网通 DNS 去解析造成解析延迟的问题。 2. 接口设置监控时，通过监控目标地址对象来做为

13、该接口是否转发流量的依据。其中发送检测报文设置到两个参数，interval-发送 ping 包的时间间隔（默认值是 3s）， threshold-判断检测失败的警戒值，连续未收到的指定报文的个数（默认值是 1 个）如果遇到链路状态不好的情况下，可能会造成某线路时而可用时而不可用，此时建议将 threshold 值修改为 3。 3. 多线路负载均衡的方式有三种，默认是 by-src-and-dst，另外两种分别是 by-src 和 by-5-tuple。命令行下通过命令 ecmp-route-select *来修改。一些银行网站对安全设置的要求较高，网站会检查访问页面的会话和登陆认证的会话源地址是否相同，如地址不同便提示登陆地址变化请重新登陆。针对这种情况，我们需要将均衡方式修改为 by-src 类型。

展开阅读全文