流量疏导及防火墙配制.ppt

流量疏导及防火墙配置,目录,知识结构,配置接口地址及路由,流量疏导及防火墙配置,与移动网络互联实现方式,防火nat配置,流量疏导方法,光纤FE口接入,光纤GE口接入,策略路由方式,静态路由方式（含默认路由）,故障处理,单个地址资源故障,互联出口或防火墙故障,1 与移动网络互联实现方式,1.1、资源准备 具备光缆资源、光纤收发器、防火墙设备、城域网具备相关接入资源。,1.2、城域网核心与防火墙互联 提前将防火墙与城域网核心路由器互联，可采用静态路由方式或动态路由方式，根据自身情况作出选择。,1.3、防火墙与移动城域网互联 分公司与移动沟通，调试光路；要求移动公司提供互联接口地址（最好是一段地址）；测试地址能否联通互联网；根据要求选择GE方式还是FE方式（建议选择GE方式）。,1 与移动网络互联实现方式,1.4、接入示意图,防火墙,BAS,BAS,BAS,城域网核心,省网核心,本地网点2,本地网点3,移动城域网网,本地网点1,核心路由器,1 与移动网络互联实现方式,1.5、设备互联配置脚本（动态路由）核心路由器：interface GigabitEthernet1/0/3/与防火墙互联接口 description To_ED500 undo shutdown ip address 192.168.3.2 255.255.255.252#ospf 1 import-route static area 0.0.0.0 network 192.168.1.2 0.0.0.0/核心路由器id#防火墙：interface GigabitEthernet1/0/0/与路由器互联接口 description To_NE40A_1-0-3#ospf 1 network 192.168.1.3 0.0.0.0/防火墙id#,1 与移动网络互联实现方式,interface GigabitEthernet2/0/0/与移动互联接口 description To_mobile#ip route-static 0.0.0.0 192.168.2.1/默认路由,2流量疏导方法,根据需要，可以按目的地址方式和按源地址方式疏导。2.1、静态路由方式 静态路由实现简单，只需一条命令即可。但只能疏导目的地址资源。2.2、策略路由方式 策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。策略路由的实现相对复杂一些，应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。一个路由图由很多条策略组成，每个策略都定义了1 个或多个的匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。,2流量疏导方法,2.3、两种实现方式的优缺点 静态路由实现简单，但只能疏导目的地址资源。随着目的地址资源的增多，一旦发生故障路由器中的静态路由信息需要大量地调整，这一工作量非常大。策略路由大体上分为两种：一种是根据路由的目的地址来进行的策略称为：目的地址路由；另一种是根据路由源地址来进行策略实施的称为：源地址路由！所以，策略路由可以根据需要灵活采用，实现不同的功能。策略路由数据制作相对静态路由要复杂的多，但是链路一旦故障，可以通过策略快速进行调整。,2流量疏导方法,2.4、两种实现方式脚本 以搜狐网为例，nslookup 看到搜狐服务器主页地址为。静态路由实现脚本：或合并 策略路由实现脚本：acl number 15012 rule ip destination 221.179.180.2 0.0.0.0#acl number 15013 rule ip destination 218.179.180.4 0.0.0.0#,2流量疏导方法,if-match acl 15012 if-match acl 15013#traffic behavior to_mobile redirect ip-nexthop 192.168.3.1 GigabitEthernet1/0/3#traffic policy sq_mobile classifier sq15011 behavior to_mobile precedence 32 classifier sq15012 behavior to_mobile precedence 35#,2流量疏导方法,interface GigabitEthernet1/0/0/在入方向绑定策略 description To_5200G traffic-policy sq_mobile inbound#commit traffic policy/使接口策略生效 interface GigabitEthernet 1/0/0/删除策略 undo traffic-policy inbound q display qos policy sq_mobile inbound/查看策略是否生效 策略生效后，5200G下用户访问搜狐主页流量即从本地移动走。,3防火墙nat配置,3.1地址转换示意图,当内部PC（）向外部服务器（）发送一个数据报1时，数据报将通过NAT服务器。NAT进程查看报头内容，发现该数据报是发往外部网络的。那么它将数据报1的源地址字段的私有地址换成一个可在Internet上选路的公有地址，并将该数据报发送到外部服务器，同时在网络地址转换表中记录这一映射。外部服务器给内部PC发送应答报文2（其初始目的地址为），到达NAT服务器后，NAT进程再次查看报头内容，然后查找当前网络地址转换表的记录，用原来的内部PC的私有地址替换目的地址。,3防火墙nat配置,3.2配置步骤,3.2.1 ACL的配置 acl number 2000 rule 5 permit/允许所有地址通过 也可添加具体地址#3.2.2 地址池部分的配置 配置起始IP地址为，结束IP地址为，编号为0的地址池。nat#3.2.3 配置NAT Outbound模式下ACL和地址池关联 firewall zone trust set priority 85 add interface GigabitEthernet1/0/0#firewall zone untrust set priority 5 add interface GigabitEthernet2/0/0#firewall interzone trust untrust nat outbound 2000 address-group 1#所有经过NAT网关的报文的源地址都会被指定的地址池中的一个IP所替代。,4故障处理,4.1、链路故障造成互联出口中断 采用静态路由方式疏导的需将所有静态路由删除。采用策略路由方式疏导的只需将策略从接口下删除即可，可快速将流量撤回本网。,4.2、单个地址资源路由故障 采用静态路由方式疏导的将故障地址静态路由删除；display ip route-table XX.XX.XX.XX 采用策略路由方式疏导的，删除单个地址比较麻烦，需先策略从所有接口下退出，逐层删除。然后在所需的端口下重新应用策略。,本章小结,谢 谢！,