流量疏导及防火墙配制

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,流量疏导及防火墙配置,问题,原由,加强与移动公司协同，充分利用移动资源为本网服务，实现彼此间的资源共享；提升网络质量，降低分公司的出网结算费用。,重点讨论,分公司层面与移动互联,接入方法、,流量疏导方式,、及,防火墙,nat,配置,等。,教学,重点,能力,要求,掌握：,互联数据制作；流量疏导路由配置；防火墙,nat,配置方法。,熟悉,：,故障判断及处理方法,。,目录,1,与移动网络互联实现方式,4,故障处理,2,流量疏导方法,3,防火墙,NAT,配置,知识结构,配置接口地址及路由,流量疏导及防火墙配置,与移动网络互联实现方式,防火,nat,配置,流量疏导方法,光纤,FE,口接入,光纤,GE,口接入,策略路由方式,静态路由方式（含默认路由）,故障处理,单个地址资源故障,互联出口或防火墙故障,1,与移动网络互联实现方式,1.1,、,资源准备,具备光缆资源、光纤收发器、防火墙设备、城域网具备相关接入资源。,1.2、,城域网核心与防火墙互联,提前将防火墙与城域网核心路由器互联，可采用静态路由方式或动态路由方式，根据自身情况作出选择。,1.3、,防火墙与移动城域网互联,分公司与移动沟通，调试光路；要求移动公司提供互联接口地址（最好是一段地址）；测试地址能否联通互联网；根据要求选择,GE,方式还是,FE,方式（建议选择,GE,方式）。,1,与移动网络互联实现方式,1.4、,接入示意图,防火墙,BAS,BAS,BAS,城域网核心,省网核心,本地网点,2,本地网点,3,移动城域网网,本地网点,1,核心路由器,1,与移动网络互联实现方式,1.5、,设备,互联配置脚本（动态路由）,核心路由器：,interface GigabitEthernet1/0/3 /,与防火墙互联接口,description To_ED500,undo shutdown,ip address 192.168.3.2 255.255.255.252,#,ospf 1,import-route static,area 0.0.0.0,network 192.168.1.2 0.0.0.0 /,核心路由器,id,#,防火墙：,interface GigabitEthernet1/0/0 /,与路由器互联接口,description To_NE40A_1-0-3,#,ospf 1,network 192.168.1.3 0.0.0.0 /,防火墙,id,#,1,与移动网络互联实现方式,interface GigabitEthernet2/0/0 /,与移动互联接口,description To_mobile,#,ip route-static 0.0.0.0 192.168.2.1/,默认路由,2,流量疏导方法,根据需要，可以按目的地址方式和按源地址方式疏导。,2.1,、静态路由方式,静态路由实现简单，只需一条命令即可。但只能疏导目的地址资源。,2.2,、策略路由方式,策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。,策略路由的实现相对复杂一些，应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。一个路由图由很多条策略组成，每个策略都定义了,1,个或多个的匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。,2,流量疏导方法,2.3,、两种实现方式的优缺点,静态路由实现简单，但只能疏导目的地址资源。随着目的地址资源的增多，一旦发生故障,路由器中的静态路由信息需要大量地调整，这一工作量非常大。,策略路由大体上分为两种：一种是根据路由的目的地址来进行的策略称为：目的地址路由；另一种是根据路由源地址来进行策略实施的称为：源地址路由！所以，策略路由可以根据需要灵活采用，实现不同的功能。策略路由数据制作相对静态路由要复杂的多，但是链路一旦故障，可以通过策略快速进行调整。,2,流量疏导方法,2.4,、两种实现方式脚本,以搜狐网为例，,nslookup,看到搜狐服务器主页地址为。,静态路由实现脚本：,或合并,策略路由实现脚本：,acl number 15012,rule ip destination 221.179.180.2 0.0.0.0,#,acl number 15013,rule ip destination 218.179.180.4 0.0.0.0,#,2,流量疏导方法,if-match acl 15012,if-match acl 15013,#,traffic behavior to_mobile,redirect ip-nexthop 192.168.3.1 GigabitEthernet1/0/3,#,traffic policy sq_mobile,classifier sq15011 behavior to_mobile precedence 32,classifier sq15012 behavior to_mobile precedence 35,#,2,流量疏导方法,interface GigabitEthernet1/0/0 /,在入方向绑定策略,description To_5200G,traffic-policy sq_mobile inbound,#,commit traffic policy /,使接口策略生效,interface GigabitEthernet 1/0/0 /,删除策略,undo traffic-policy inbound,q,display qos policy sq_mobile inbound,/,查看策略是否生效,策略生效后，,5200G,下用户访问搜狐主页流量即从本地移动走。,3,防火墙,nat,配置,3.1,地址转换示意图,当内部,PC,（）向外部服务器（）发送一个数据报,1,时，数据报将通过,NAT,服务器。,NAT,进程查看报头内容，发现该数据报是发往外部网络的。那么它将数据报,1,的源地址字段的私有地址换成一个可在,Internet,上选路的公有地址，并将该数据报发送到外部服务器，同时在网络地址转换表中记录这一映射。外部服务器给内部,PC,发送应答报文,2,（其初始目的地址为），到达,NAT,服务器后，,NAT,进程再次查看报头内容，然后查找当前网络地址转换表的记录，用原来的内部,PC,的私有地址替换目的地址。,3,防火墙,nat,配置,3.2,配置步骤,3.2.1 ACL,的配置,acl number 2000,rule 5 permit /,允许所有地址通过 也可添加具体地址,#,3.2.2,地址池部分的配置,配置起始,IP,地址为，结束,IP,地址为，编号为,0,的地址池。,nat,#,3.2.3,配置,NAT Outbound,模式下,ACL,和地址池关联,firewall zone trust,set priority 85,add interface GigabitEthernet1/0/0,#,firewall zone untrust,set priority 5,add interface GigabitEthernet2/0/0,#,firewall interzone trust untrust,nat outbound 2000 address-group 1,#,所有经过,NAT,网关的报文的源地址都会被指定的地址池中的一个,IP,所替代。,4,故障处理,4.1,、链路故障造成互联出口中断,采用静态路由方式疏导的需将所有静态路由删除。,采用策略路由方式,疏导,的只需将策略从接口下删除即可，可快速将流量撤回本网。,4.2,、单个地址资源路由故障,采用静态路由方式,疏导,的将故障地址静态路由删除；,display ip route-table XX.XX.XX.XX,采用策略路由方式,疏导,的，删除单个地址比较麻烦，需先策略从所有接口下退出，逐层删除。然后在所需的端口下重新应用策略。,本章小结,与移动协同，充分利用移动资源。本章介绍的就是目前宿迁分公司利用移动出口资源，疏通本网流量的技术实现方法。,按目的地址方式，制作路由数据，是最常见的也是利用最多的。由于目的地址太多，在疏通的过程中难免会遇到故障，这时就要能够判断出故障原因，有测试办法，及时采取有效地处理方式。常见的处理方法，本章有所介绍。,2,1,谢 谢！,