收藏
下载资源

流量疏导及防火墙配制

上传人:mg****85 文档编号:49490795 上传时间:2018-07-29 格式:PPT 页数:17 大小:332.50KB
返回 下载 相关 举报
流量疏导及防火墙配制_第1页
第1页 / 共17页
流量疏导及防火墙配制_第2页
第2页 / 共17页
流量疏导及防火墙配制_第3页
第3页 / 共17页
流量疏导及防火墙配制_第4页
第4页 / 共17页
流量疏导及防火墙配制_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《流量疏导及防火墙配制》由会员分享,可在线阅读,更多相关《流量疏导及防火墙配制(17页珍藏版)》请在金锄头文库上搜索。

1、1流量疏导及防火墙配置问题 原由加强与移动公司协同,充分利用移动资源为本网服 务,实现彼此间的资源共享;提升网络质量,降低 分公司的出网结算费用。重点讨论分公司层面与移动互联接入方法、流量疏 导方式、及防火墙nat配置等。教学 重点能力 要求掌握:互联数据制作;流量疏导路由配置;防火墙 nat配置方法。 熟悉:故障判断及处理方法。2目录1 与移动网络互联实现方式4 故障处理2 流量疏导方法3 防火墙NAT配置3知识结构配置接口地址及路由流量疏导 及防火墙 配置与移动网络 互联实现方 式防火nat配置流量疏导方法光纤FE口接入光纤GE口接入策略路由方式静态路由方式(含 默认路由)故障处理单个地址

2、资源故障互联出口或防火墙 故障41 与移动网络互联实现方式1.11.1、资源准备资源准备 具备光缆资源、光纤收发器、防火墙设备、城域网具备相 关接入资源。1.21.2、城域网核心与防火墙互联城域网核心与防火墙互联 提前将防火墙与城域网核心路由器互联,可采用静态路由 方式或动态路由方式,根据自身情况作出选择。1.31.3、防火墙与移动城域网互联防火墙与移动城域网互联 分公司与移动沟通,调试光路;要求移动公司提供互联接 口地址(最好是一段地址);测试地址能否联通互联网;根据要 求选择GE方式还是FE方式(建议选择GE方式)。51 与移动网络互联实现方式1.41.4、接入示意图接入示意图防火墙BAS

3、BASBAS城域网核心省网核心本地网点 2本地网点 3移动城域 网网本地网点 1核心路由器192.168.2.1/29192.168.3.1/3061 与移动网络互联实现方式1.51.5、设备设备互联配置脚本(动态路由)互联配置脚本(动态路由)核心路由器:核心路由器:interface GigabitEthernet1/0/3 /与防火墙互联接口description To_ED500undo shutdownip address 192.168.3.2 255.255.255.252 #ospf 1import-route staticarea 0.0.0.0 network 192.168

4、.1.2 0.0.0.0 /核心路由器idnetwork 192.168.3.0 0.0.0.3#防火墙:防火墙:interface GigabitEthernet1/0/0 /与路由器互联接口description To_NE40A_1-0-3ip address 192.168.3.1 255.255.255.252#ospf 1area 0.0.0.0network 192.168.1.3 0.0.0.0 /防火墙idnetwork 192.168.3.0 0.0.0.3#71 与移动网络互联实现方式interface GigabitEthernet2/0/0 /与移动互联接口descr

5、iption To_mobileip address 192.168.2.2 255.255.255.248 #ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 /默认路由82 流量疏导方法根据需要,可以按目的地址方式和按源地址方式疏导。2.12.1、静态路由方式、静态路由方式静态路由实现简单,只需一条命令即可。但只能疏导目的 地址资源。2.2 2.2、策略路由方式、策略路由方式策略路由是一种比基于目标网络进行路由更加灵活的数据 包路由转发机制。策略路由的实现相对复杂一些,应用策略路 由,必须要指定策略路由使用的路由图,并且要创建路由图。 一个路由图由很多

6、条策略组成,每个策略都定义了1 个或多个 的匹配规则和对应操作。一个接口应用策略路由后,将对该接 口接收到的所有包进行检查,不符合路由图任何策略的数据包 将按照通常的路由转发进行处理,符合路由图中某个策略的数 据包就按照该策略中定义的操作进行处理。 92 流量疏导方法2.32.3、两种实现方式的优缺点、两种实现方式的优缺点静态路由实现简单,但只能疏导目的地址资源。随着目的 地址资源的增多,一旦发生故障路由器中的静态路由信息需要 大量地调整,这一工作量非常大。策略路由大体上分为两种:一种是根据路由的目的地址来 进行的策略称为:目的地址路由;另一种是根据路由源地址来 进行策略实施的称为:源地址路由

7、!所以,策略路由可以根据 需要灵活采用,实现不同的功能。策略路由数据制作相对静态 路由要复杂的多,但是链路一旦故障,可以通过策略快速进行 调整。 102 流量疏导方法2.4 2.4、两种实现方式脚本、两种实现方式脚本以搜狐网为例,nslookup 看到搜狐服务 器主页地址为221.179.180.4, 221.179.180.2。静态路由实现脚本:ip route-static 221.179.180.4 32 192.168.3.1ip route-static 221.179.180.2 32 192.168.3.1 或合并ip route-static 221.179.180.2 24

8、 192.168.3.1策略路由实现脚本:acl number 15012 rule ip destination 221.179.180.2 0.0.0.0 #acl number 15013 rule ip destination 218.179.180.4 0.0.0.0 # 112 流量疏导方法traffic classifier sq15012if-match acl 15012traffic classifier sq15013if-match acl 15013#traffic behavior to_mobileredirect ip-nexthop 192.168.3.1 G

9、igabitEthernet1/0/3#traffic policy sq_mobileclassifier sq15011 behavior to_mobile precedence 32classifier sq15012 behavior to_mobile precedence 35#122 流量疏导方法interface GigabitEthernet1/0/0 /在入方向绑定策略description To_5200Gtraffic-policy sq_mobile inbound#commit traffic policy /使接口策略生效interface GigabitEth

10、ernet 1/0/0 /删除策略undo traffic-policy inbound qdisplay qos policy sq_mobile inbound /查看策略是否生效策略生效后,5200G下用户访问搜狐主页流量即从本地移动走。133 防火墙nat配置3.13.1地址转换示意图地址转换示意图当内部PC(192.168.1.3)向外部服务器(202.120.10.2)发送一个数据报1时,数据报将通过NAT服务 器。NAT进程查看报头内容,发现该数据报是发往外部网络的。那么它将数据报1的源地址字段的私有地址 192.168.1.3换成一个可在Internet上选路的公有地址202.

11、169.10.1,并将该数据报发送到外部服务器,同 时在网络地址转换表中记录这一映射。外部服务器给内部PC发送应答报文2(其初始目的地址为 202.169.10.1),到达NAT服务器后,NAT进程再次查看报头内容,然后查找当前网络地址转换表的记录,用 原来的内部PC的私有地址192.168.1.3替换目的地址。 143 防火墙nat配置3.23.2配置步骤配置步骤3.2.1 ACL3.2.1 ACL的配置的配置acl number 2000 rule 5 permit /允许所有地址通过 也可添加具体地址#3.2.2 3.2.2 地址池部分的配置地址池部分的配置配置起始IP地址为192.16

12、8.2.2,结束IP地址为192.168.2.6,编号为0的地址池。nat address-group 0 192.168.2.2 192.168.2.6#3.2.3 3.2.3 配置配置NAT OutboundNAT Outbound模式下模式下ACLACL和地址池关联和地址池关联firewall zone trustset priority 85add interface GigabitEthernet1/0/0#firewall zone untrustset priority 5add interface GigabitEthernet2/0/0#firewall interzone

13、trust untrustnat outbound 2000 address-group 1#所有经过NAT网关的报文的源地址都会被指定的地址池中的一个IP所替代。 154 故障处理4.14.1、链路故障造成互联出口中断、链路故障造成互联出口中断采用静态路由方式疏导的需将所有静态路由删除。采用策略路由方式疏导的只需将策略从接口下删除即可,可快速将流 量撤回本网。 4.24.2、单个地址资源路由故障、单个地址资源路由故障采用静态路由方式疏导的将故障地址静态路由删除;display ip route-table XX.XX.XX.XX 采用策略路由方式疏导的,删除单个地址比较麻烦,需先策略从所有 接口下退出,逐层删除。然后在所需的端口下重新应用策略。16本章小结与移动协同,充分利 用移动资源。本章介 绍的就是目前宿迁分 公司利用移动出口资 源,疏通本网流量的 技术实现方法。按目的地址方式,制作 路由数据,是最常见的 也是利用最多的。由于 目的地址太多,在疏通 的过程中难免会遇到故 障,这时就要能够判断 出故障原因,有测试办 法,及时采取有效地处 理方式。常见的处理方 法,本章有所介绍。2117谢谢 谢!谢!

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号