ISP選路
ISP選路功能也稱(chēng)為運(yùn)營(yíng)商地址庫(kù)選路功能,當(dāng)FW作為出口網(wǎng)關(guān)設(shè)備連接多個(gè)ISP網(wǎng)絡(luò)時(shí),通過(guò)ISP選路功能可以使訪問(wèn)特定ISP網(wǎng)絡(luò)的流量從相應(yīng)出接口轉(zhuǎn)發(fā),保證流量轉(zhuǎn)發(fā)使用最短路徑,提高轉(zhuǎn)發(fā)效率。
如下圖所示,F(xiàn)W擁有兩條屬于不同ISP網(wǎng)絡(luò)的出口鏈路。當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)ISP2中的Server2時(shí),如果FW上存在等價(jià)路由,則FW可以通過(guò)路徑1和路徑2兩條不同的路徑到達(dá)Server2。其中,路徑2顯然不是最優(yōu)路徑,路徑1才是用戶所期望的路徑。
配置ISP選路功能后,當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)Server1或Server2時(shí),F(xiàn)W會(huì)根據(jù)目的地址所在ISP網(wǎng)絡(luò)選擇相應(yīng)的出接口,從而使訪問(wèn)流量通過(guò)最短路徑到達(dá)服務(wù)器。
ISP選路的原理
ISP選路是基于ISP路由的選路方式,通過(guò)批量生成到運(yùn)營(yíng)商網(wǎng)絡(luò)的ISP路由實(shí)現(xiàn)訪問(wèn)特定ISP網(wǎng)絡(luò)的報(bào)文都從相應(yīng)的出接口轉(zhuǎn)發(fā)。
ISP選路可以單獨(dú)使用,也可以結(jié)合其他智能選路功能一起使用,具體的
使用場(chǎng)景分類(lèi)如表1所示:
表1 ISP選路場(chǎng)景分類(lèi)
分類(lèi) | 使用場(chǎng)景 |
ISP選路場(chǎng)景 | 如果用戶希望訪問(wèn)特定ISP網(wǎng)絡(luò)的流量從相應(yīng)出接口轉(zhuǎn)發(fā),不會(huì)繞道其他ISP,可以配置ISP選路功能。 |
ISP選路+策略路由組合場(chǎng)景 | 如果用戶希望根據(jù)報(bào)文目的地址所屬I(mǎi)SP網(wǎng)絡(luò)選擇相應(yīng)的出接口,并根據(jù)多出口策略路由進(jìn)行智能的選路,實(shí)現(xiàn)鏈路資源的合理利用,可以使用該場(chǎng)景。 |
ISP選路+全局選路策略+DNS透明代理組合場(chǎng)景 | 當(dāng)內(nèi)網(wǎng)用戶通過(guò)域名訪問(wèn)Web服務(wù)器時(shí),可以使用該場(chǎng)景。通過(guò)配置DNS透明代理,可以使DNS請(qǐng)求報(bào)文根據(jù)選擇的出接口,修改DNS請(qǐng)求報(bào)文的目的地址(DNS服務(wù)器地址)。通過(guò)配置ISP選路和全局選路策略,F(xiàn)W根據(jù)報(bào)文目的地址所屬I(mǎi)SP網(wǎng)絡(luò)選擇相應(yīng)的出接口,并根據(jù)全局選路策略,實(shí)現(xiàn)鏈路資源的合理利用。 |
ISP選路功能可以配合健康檢查功能一起使用,保證流量不被轉(zhuǎn)發(fā)到故障鏈路上。當(dāng)健康檢查的結(jié)果顯示鏈路故障時(shí),對(duì)應(yīng)的ISP路由表項(xiàng)將被刪除,所以流量不會(huì)命中該條路由,也就避免被轉(zhuǎn)發(fā)到故障鏈路上。當(dāng)鏈路狀態(tài)恢復(fù)正常時(shí),對(duì)應(yīng)的ISP路由表項(xiàng)將重新生成,流量即可按此路由進(jìn)行轉(zhuǎn)發(fā)。
DNS透明代理
一般來(lái)講,企業(yè)內(nèi)網(wǎng)用戶的客戶端都會(huì)配置一個(gè)相同的DNS服務(wù)器地址,而DNS服務(wù)器通常會(huì)將域名解析成自己所在ISP內(nèi)的Web服務(wù)器地址,這將導(dǎo)致內(nèi)網(wǎng)用戶的上網(wǎng)流量都集中在一個(gè)ISP的鏈路上轉(zhuǎn)發(fā),最終可能會(huì)造成鏈路擁塞,影響用戶的上網(wǎng)體驗(yàn)。同時(shí),由于其他ISP的鏈路資源沒(méi)有被使用,也造成了資源的浪費(fèi)。
為了解決上述問(wèn)題,可以使用DNS透明代理功能。對(duì)于命中DNS透明代理策略的DNS請(qǐng)求報(bào)文,F(xiàn)W會(huì)根據(jù)DNS請(qǐng)求報(bào)文選擇的出接口,修改請(qǐng)求報(bào)文的目的地址(DNS服務(wù)器地址),即將其修改為其他ISP內(nèi)的DNS服務(wù)器地址,DNS請(qǐng)求被轉(zhuǎn)發(fā)到不同的ISP,解析后的Web服務(wù)器地址也就屬于不同的ISP,所以上網(wǎng)流量將通過(guò)不同的ISP鏈路轉(zhuǎn)發(fā),充分利用了所有鏈路資源。
DNS透明代理策略
管理員通過(guò)DNS透明代理策略來(lái)定義哪些DNS請(qǐng)求報(bào)文需要做DNS透明代理。DNS透明代理策略的具體規(guī)則如下:
- 匹配條件只有DNS請(qǐng)求報(bào)文的源地址和目的地址,且均為可選,如果不選,默認(rèn)為any,表示該DNS透明代理策略與任意DNS請(qǐng)求報(bào)文匹配,并執(zhí)行配置的動(dòng)作。
- 各個(gè)匹配條件之間是“與”的關(guān)系,只有報(bào)文的屬性與各個(gè)條件必須全部匹配,才認(rèn)為該報(bào)文匹配這條規(guī)則。
- 一個(gè)匹配條件中如果可以配置多個(gè)值,多個(gè)值之間是“或”的關(guān)系,報(bào)文的屬性只要匹配任意一個(gè)值,就認(rèn)為報(bào)文的屬性匹配了這個(gè)條件。
- FW存在多條DNS透明代理策略時(shí),DNS請(qǐng)求報(bào)文將按照策略的配置順序依次進(jìn)行匹配。
- 只要匹配到其中一條策略,就按照此策略的動(dòng)作進(jìn)行處理,不再繼續(xù)匹配剩余的其他策略。
此外,系統(tǒng)默認(rèn)存在一條缺省DNS透明代理策略default,default位于策略列表的最底部,優(yōu)先級(jí)最低,所有匹配條件均為any,動(dòng)作為不代理。如果所有配置的策略都未匹配,則將匹配缺省DNS透明代理策略。
DNS透明代理處理流程
當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)某個(gè)域名時(shí),DNS透明代理功能處理報(bào)文的流程如下圖所示。
處理流程的詳細(xì)說(shuō)明如下:
1.DNS請(qǐng)求報(bào)文命中DNS透明代理策略后,對(duì)于需要做DNS透明代理的報(bào)文,F(xiàn)W首先判斷待解析的域名是否為排除域名。
- 如果是排除域名,F(xiàn)W就不會(huì)做DNS透明代理;
- 如果不是排除域名,F(xiàn)W會(huì)為報(bào)文做一個(gè)DNS透明代理標(biāo)記,此標(biāo)記用于后續(xù)流程的判斷。
- 對(duì)于排除域名,如果需要更換DNS服務(wù)器來(lái)解析該域名,則FW會(huì)將DNS請(qǐng)求報(bào)文的目的地址修改為指定DNS服務(wù)器的地址。
2.DNS請(qǐng)求報(bào)文根據(jù)智能選路或者普通靜態(tài)/動(dòng)態(tài)路由選路選擇出接口。
說(shuō)明:
DNS請(qǐng)求報(bào)文使用以下幾種方法進(jìn)行選路:
- DNS透明代理自身配置的智能選路方式
- 策略路由智能選路或全局選路策略
- 普通靜態(tài)/動(dòng)態(tài)路由選路
優(yōu)先級(jí)關(guān)系為:DNS透明代理自身配置的智能選路方式> 策略路由智能選路 > 全局選路策略 > 普通靜態(tài)/動(dòng)態(tài)路由選路。
3.當(dāng)出接口上綁定了DNS服務(wù)器,且報(bào)文有DNS透明代理標(biāo)記時(shí),F(xiàn)W才會(huì)做DNS透明代理。兩個(gè)條件中有一個(gè)不滿足時(shí),F(xiàn)W都不會(huì)做DNS透明代理
說(shuō)明:
FW在每個(gè)出接口上最多綁定2個(gè)DNS服務(wù)器,一個(gè)為首選DNS服務(wù)器,一個(gè)為備用DNS服務(wù)器,它們都屬于該出接口直連的ISP網(wǎng)絡(luò)。
當(dāng)FW決定DNS請(qǐng)求報(bào)文的出接口后,DNS透明代理功能優(yōu)先使用首選DNS服務(wù)器的地址替換DNS請(qǐng)求報(bào)文的目的地址,只有當(dāng)首選DNS服務(wù)器的狀態(tài)為DOWN時(shí),才使用備用DNS服務(wù)器的地址進(jìn)行替換。
通過(guò)在DNS透明代理中配置健康檢查,可以判斷出接口上綁定的DNS服務(wù)器是否可用,如果首選DNS服務(wù)器和備用DNS服務(wù)器都不可用,則DNS透明代理不生效。
下面以下圖為例對(duì)DNS透明代理過(guò)程進(jìn)行舉例說(shuō)明。
- 當(dāng)DNS請(qǐng)求報(bào)文到達(dá)FW時(shí),F(xiàn)W首先進(jìn)行DNS透明代理策略的匹配。
- 報(bào)文命中DNS透明代理策略后,F(xiàn)W根據(jù)路由查詢結(jié)果選擇一個(gè)出接口。
- FW使用出接口上綁定的DNS服務(wù)器地址替換DNS請(qǐng)求報(bào)文的目的地址。
- DNS服務(wù)器將解析后的Web服務(wù)器地址返給用戶,此Web服務(wù)器和DNS服務(wù)器屬于同一個(gè)ISP網(wǎng)絡(luò)。
- 用戶根據(jù)返回的地址訪問(wèn)Web服務(wù)器。此時(shí)需要結(jié)合ISP選路(基于ISP路由的選路)功能,使用戶能夠通過(guò)Web服務(wù)器所屬的ISP網(wǎng)絡(luò)進(jìn)行訪問(wèn),防止發(fā)生跨ISP網(wǎng)絡(luò)訪問(wèn)的情況。
配置舉例
如下圖所示,企業(yè)分別從ISP1和ISP2租用了一條鏈路,ISP1鏈路的帶寬為100M,ISP2鏈路的帶寬為50M。ISP1的DNS服務(wù)器地址為8.8.8.8和8.8.8.9,ISP2的DNS服務(wù)器地址為9.9.9.8和9.9.9.9。內(nèi)網(wǎng)用戶客戶端的DNS服務(wù)器地址均設(shè)置為10.2.0.70。
- 企業(yè)希望10.3.0.0/24網(wǎng)段內(nèi)網(wǎng)用戶的上網(wǎng)流量按照2:1的比例分配到ISP1和ISP2鏈路,保證各條鏈路得到充分利用且不會(huì)發(fā)生擁塞,提升內(nèi)網(wǎng)用戶的上網(wǎng)體驗(yàn)。
- 內(nèi)網(wǎng)用戶訪問(wèn)域名www.example.com時(shí),不做DNS透明代理,但是要在指定的DNS服務(wù)器(8.8.8.10)上解析該域名對(duì)應(yīng)的Web服務(wù)器地址。
- 當(dāng)一條ISP鏈路過(guò)載(閾值為90%)時(shí),可以使用另一條ISP鏈路進(jìn)行流量轉(zhuǎn)發(fā)。
配置思路
由于企業(yè)希望上網(wǎng)流量能夠根據(jù)帶寬比例(2:1)進(jìn)行分配,所以智能選路的方式設(shè)置為根據(jù)鏈路帶寬負(fù)載分擔(dān)的全局選路策略。通過(guò)在FW上配置DNS透明代理功能,可以使內(nèi)網(wǎng)用戶的DNS請(qǐng)求報(bào)文按照2:1的比例分配到ISP1與ISP2的DNS服務(wù)器上。
為了保證上網(wǎng)流量不會(huì)繞道其他ISP,而是直接通過(guò)目的地址所在ISP網(wǎng)絡(luò)到達(dá)Web服務(wù)器,需要配置ISP選路功能。
- 可選:配置健康檢查功能,分別為ISP1和ISP2鏈路配置健康檢查。
- 配置接口的IP地址、安全區(qū)域、網(wǎng)關(guān)地址、帶寬和過(guò)載保護(hù)閾值,并在接口上應(yīng)用健康檢查。
- 配置ISP選路功能。制作isp1.csv和isp2.csv兩個(gè)ISP地址文件,并上傳到FW上。
- 配置DNS透明代理功能。在出接口上綁定DNS服務(wù)器地址,配置DNS透明代理策略來(lái)指定做DNS透明代理的流量,并配置要排除的域名。
- 配置全局選路策略。配置智能選路方式為根據(jù)鏈路帶寬負(fù)載分擔(dān),并指定FW和ISP1、ISP2網(wǎng)絡(luò)直連的出接口作為智能選路成員接口。
- 配置基本的安全策略,允許企業(yè)內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)資源。
操作步驟
1.配置ISP1和ISP2鏈路的健康檢查功能。
選擇“對(duì)象> 健康檢查”,在“健康檢查列表”區(qū)域單擊“新建”,完成下圖配置。
說(shuō)明:
DNS透明代理功能和智能選路一起配合使用且需要同時(shí)啟用DNS透明代理的健康檢查和智能選路接口下的健康檢查時(shí),智能選路接口下的健康檢查探測(cè)目的地址需要配置為接口綁定的DNS服務(wù)器地址,探測(cè)協(xié)議配置為DNS,以確保兩處健康檢查結(jié)果一致,接口鏈路在正常狀態(tài)下可以始終支持DNS代理,避免因?yàn)镈NS請(qǐng)求失敗導(dǎo)致業(yè)務(wù)訪問(wèn)失敗。
2.配置接口的IP地址和網(wǎng)關(guān)地址,以及接口所在鏈路的帶寬和過(guò)載保護(hù)閾值,并應(yīng)用對(duì)應(yīng)的健康檢查。
選擇“網(wǎng)絡(luò)> 接口”,單擊待配置的接口所在行的,并做如下配置。
3.配置DNS透明代理。
a. 選擇“網(wǎng)絡(luò) > DNS > DNS”,單擊“DNS透明代理”頁(yè)簽,并做如下配置。
接口綁定DNS服務(wù)器時(shí),啟用“健康檢查”。
b. 單擊“應(yīng)用”。
c. 配置內(nèi)網(wǎng)用戶訪問(wèn)域名www.example.com時(shí),不做DNS透明代理,但是要在指定的DNS服務(wù)器(8.8.8.10)上解析該域名對(duì)應(yīng)的Web服務(wù)器地址。
d. 配置DNS透明代理策略。
4.配置ISP選路。
a. 選擇“網(wǎng)絡(luò) > 路由 > 智能選路”,單擊“運(yùn)營(yíng)商地址庫(kù)”頁(yè)簽,上傳ISP地址文件到FW。
b. 選擇“網(wǎng)絡(luò) > 路由 > ISP路由”,單擊“新建”頁(yè)簽,配置ISP選路。
5.配置全局選路策略,流量根據(jù)鏈路帶寬負(fù)載分擔(dān)。并將GigabitEthernet 0/0/1和GigabitEthernet 0/0/5加入出接口列表。
選擇“網(wǎng)絡(luò)> 路由 > 智能選路”,在“全局選路策略列表”區(qū)域,單擊“配置”。
6.配置安全策略。
a. 選擇“策略 > 安全策略 > 安全策略”。
b. 單擊“新建安全策略”,按如下參數(shù)配置從trust到untrust方向的安全策略,允許業(yè)務(wù)報(bào)文通過(guò)。配置完成后單擊“確定”。
名稱(chēng) | service |
源安全區(qū)域 | trust |
目的安全區(qū)域 | untrust |
源地址/地區(qū) | 10.3.0.0/24 |
動(dòng)作 | 允許 |
好了,這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里,如果大家網(wǎng)絡(luò)推廣引流創(chuàng)業(yè)感興趣,可以添加微信:80709525 備注:發(fā)貨聯(lián)盟引流學(xué)習(xí); 我拉你進(jìn)直播課程學(xué)習(xí)群,每周135晚上都是有實(shí)戰(zhàn)干貨的推廣引流技術(shù)課程免費(fèi)分享!