云主机免费版_网络营销是什么专业的课_十大免费引流平台_百度首页广告多少钱

NAT---地址转换技术

地址转换表 --- 所有经过 NAT 转换设备并且需要进行地址转换的报文，都会通过这个表项进行相关的

修改。

内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和端口。
外部网络地址和端口转换为NAT转换设备的内部网络主机的IP地址和端口。

针对 NAT 的应用场景的不同

源NAT
- 地址池方式 --- 存在多个公网IP地址，适合于大量的私网用户访问internet的场景
- 出接口方式 --- 仅存在一个公网IP地址，为设备出接口IP。适用于公网IP地址是动态获取的方式。
服务器映射
- 静态映射 --- 公网地址和私网地址一对一进行映射转换。

源NAT技术

基本原理

把IP 报文中的源地址进行转换。

NAT策略

也是有条件和动作组成。

源NAT转换 --- 必须引用NAT地址池。
不进行NAT转换

源NAT转换方式

NAT NO-PAT

要求;

        将公网IP 地址 202.10.1.10 加入 NAT 地址池 1

        将公网IP 地址 202.10.2.10 加入 NAT 地址池 2





配置 NAT 策略:

第一步，创建NAT地址池

        [FW]nat address-group nat_1 ---创建 NAT 地址族，名称为 nat_1

        [FW-address-group-nat_1]section 202.10.1.10 ---设置地址池中的地址信息

        [FW-address-group-nat_1]mode no-pat global ---设置模式

第二步NAT 策略：

[FW]nat-policy --- 进入 NAT 策略配置视图

[FW-policy-nat]rule name policy_1

[FW-policy-nat-rule-policy_1]source-zone trust

[FW-policy-nat-rule-policy_1]destination-zone Untrust_1

[FW-policy-nat-rule-policy_1]source-address 192.168.1.0 24

[FW-policy-nat-rule-policy_1]destination-address 202.10.1.1 32

[FW-policy-nat-rule-policy_1]action source-nat address-group nat_1 --- 设定使用源

NAT 方式，调用地址族 nat_1

第三步，安全策略：

防火墙检测流量是否符合安全策略的操作发生在检查 NAT 策略之前，

如果要针对源 IP 设置 NAT 策 略，那么应该是做源 NAT 转换前的 IP 地址。

会话表中可以查看转换后的 IP 和端口信息。

NAT 不仅仅会产生会话表，也会产生 server-map 表项，且生成了正反两条表项 。

正向的 Server-map 表项的作用是保持特定私网用户访问 Internet 网络是，可以快速转换地址。

注意：哪怕此时存在流量，命中了由 NAT 机制产生的 Server-map 表项，还需要进行安全策略的检

查，只有检查通过，报文才能通过防火墙 。 --- 即由 ASPF 技术生成的表项，会越过安全策略；而 NAT 无法越过。

（公网用户访问防火墙的NAT地址池中的IP地址时，会产生环路）

在配置 NAT 时，需要在 NAT 设备上编写空接口防环的黑洞路由

Unr（协议标记）

[FW]nat address-group nat_1

[FW-address-group-nat_1]route enable --- 设备会自动生成黑洞路由信息，用来防环

配置该命令后， FW 生成的 UNR(User Network Route) 路由，该路由与黑洞路由作用相同。可以防

止路由环路，同时也可以引入到 IGP 或 BGP 协议中。 优先级 61 。

NAPT (五元组)

应用最广泛的地址转换方式---> 利用少量的公网 IP 地址来满足大量私网用户访问 Internet 网络。

[FW-address-group-nat_1]mode pat --- 在地址池中，进行模式修改

NAPT不存在Server-map表

easy-ip

利用出接口的公网 IP 地址作为 NAT 转换后的地址，也同时转换地址和端口。

easy-ip 方式 无需配置NAT地址池，也不需要配置黑洞路由。

rule name policy_1

source-zone trust

destination-zone Untrust_1

source-address 192.168.1.0 mask 255.255.255.0

destination-address 202.10.1.1 mask 255.255.255.255

action source-nat easy-ip-------------------------------------------------------------------------------------------

也不会产生 server-map 表项。

Smart NAT(聪明的NAT)

逻辑

假设 Smart NAT 使用的地址池包含 N 个 IP 地址，其中一个 IP 地址被指定为预留地址，另外 N-1 个地址构成了地址段1

进行 NAT 转换时，会优先使用地址段 1 中的地址，进行 NO-PAT 转换，当地址段 1 中的 IP 都被占用后，才使用预留IP 地址做 NAPT 转换

只有公网 IP 地址 ( 除预留的 IP 以外 ) 被 NAT NO PAT 转换用尽了，才会进行 NAPT 转换，并且 NAPT 方

式不会产生 server-map 。

该方式无法在 web 界面配置 。

1 、安全策略配置

security-policy

rule name policy_1

description NAT 策略（ policy_1 ）引入

source-zone trust

destination-zone Untrust_1

source-address 192.168.1.0 mask 255.255.255.0

action permit

2 、 NAT 地址池配置

[FW]nat address-group 1

[FW-address-group-1]mode no-pat global

[FW-address-group-1]section 202.10.1.10 202.10.1.10 -- 正常设置时，需要多设置一些地址

[FW-address-group-1]smart-nopat 202.10.1.20 --- 预留地址，进行 NAPT 转换的地址

[FW-address-group-1]route enable --- 只要用到地址池，都需要配置黑洞路由

3 、 NAT 策略配置

nat-policy

rule name policy

source-zone trust

destination-zone Untrust_1

source-address 192.168.1.0 mask 255.255.255.0

action source-nat address-group 1

三元组 NAT

P2P 应用； peer to peer

PC1 和 PC2 是运行了 P2P 业务的客户端，运行 P2P 业务时，首先与服务器进行交互，服务器记录客户端的地址+ 端口

当 PC2 需要下载文档时，服务器会将拥有该文件的客户端的地址和端口发送给 PC2(PC1 的地址 + 端口 ) ，然后PC2 会想 PC1 发起请求，下载文件

如果 PC1 是内网主机，在防火墙上做 NAPT 转换，此时 P2P 服务器记录的是 PC1 做 NAT 转换后的地址和端口。

1. PC1没有主动访问过PC2

不会存在会话表或server-map表项，防火墙不会允许PC2主动访问PC1

2. PC1 的报文经过 NAPT 转换后，可能会导致端口经常刷新，影响 P2P 业务正常运行。

（三元组可以解决以上问题）

三元组 NAT 转换时存在以下特点：

对外呈现端口一致性。
- 对外呈现的信息固定
支持外网主动访问
- 创建server-map表项，从而越过安全策略检查。

说白了，三元组 NAT 机制，通过利用 NAT NO-PAT 机制所产生的 server-map 表项，来实现外网的

访问

配置：

1 、地址池

[FW]nat address-group 1

[FW-address-group-1]mode full-cone global --- 导致 server-map 表项中 zone 内容为空；如果

不使用 global 参数，而是使用 local 参数，则代表只有 NAT 策略中的目的区域的流量，才可以匹配 server-map表项

[FW-address-group-1]section 202.10.1.10 202.10.1.10

[FW-address-group-1]route enable

2 、 NAT 策略

nat-policy

rule name 1

source-zone trust

destination-zone Untrust_1

source-address 192.168.1.0 mask 255.255.255.0

action source-nat address-group 1

3 、

[FW]firewall endpoint-independent filter enable -- 开启端口过滤功能；

意义：此时的server-map 表项，不受安全策略的控制

通过观察 server-map 表项，防火墙生成了源目两个表项。

源表项
- PC1访问任意安全区域内的任意主机时，NAT转换后的地址都是202.10.1.10:14336

目的表项
- 任意安全区域的任意主机，都可以通过202.10.1.10:14336，来访问PC1的15468端口

server-map表项总结

ASPF
- 生成的表项不受安全策略控制（隐形通道）
三元组NAT
- 生成的表项需要受到安全策略控制
NAT NO-PAT
- 生成的表项需要受到安全策略控制

对于多出口的场景中， FW 的多出口链路需要被加入到不同的安全区域，然后基于不同的安全区域的 域间关系来配置源 NAT 策略。否则会导致数据流量的 NAT 策略匹配永远只会匹配第一条规则 。

目的NAT(NAT Server)

注意点：建议不要将防火墙的公网接口的 IP 地址设定为 NAT Server 的公网 IP ，避免 NAT Server 与

防火墙自身的一些服务产生冲突 。

[FW]nat server global 1.1.1.1 inside 10.1.1.1 --- 将公网 IP1.1.1.1 与私网 IP10.1.1.1

绑定

[FW]nat server protocol tcp global 1.1.1.1 9980 inside 10.1.1.1 www --- 增加了协

议内容

[FW]nat server protocol tcp global 1.1.1.1 9980 inside 10.1.1.1 80 unr-route --

-unr-route 参数代表配置 UNR 路由，类似于黑洞路由

华为特有 ---> 支持配置指定协议的 NAT Server ，即将特定的某种服务对公网发布。

NAT Server 配置完成后，会自动生成正反两个 Server-map 表项，且该表项为静态表项，即不需要

报文来触发，配置后自动生成 。 ---> 该表项不能像 ASPF 一样，打开一个绕过安全策略检查的通道 。

正向表项
- ANY -> 1.1.1.1:9980[10.1.1.1:80]
- 任意客户端向1.1.1.1:9980发起访问时，报文的目的地址和端口都会被转换为10.1.1.1:80；
- 起作用是公网用户访问服务器时，对报文的目的地址进行转换。
-反向表项
- 10.1.1.1[1.1.1.1] -> ANY
- 当私网服务器主动访问公网时，可以直接通过这个表项将报文的源地址从私网转换为公网地址，而不再需要单独为服务器配置源NAT策略。

需要配置安全策略

当外网流量来到防火墙时，防火墙需要先进行 NAT 转换 ---> 原因是因为只有经过了 NAT 转换，防火墙 才可以根据真正的目的地来查找路由表；只有确定了报文应该从哪个接口发送，才知晓流量在哪两个安 全区域之间流量，才可以正常匹配安全策略 。 ---> 即配置安全策略时，策略的目的地址应配置为服务器的+++++++++++++++++++++++++++++++++++++++++++++ 私网地址 。

当外网流量成功通过正向 server-map 表项和安全策略检查后，会在防火墙本地生成会话表，而后续

服务器的响应报文会匹配会话表来向外发送信息，越过安全策略检查。不需要查找 server-map 表项。

如果配置了黑洞路由，防火墙在收到访问报文后，会将该报文丢弃么？ --- 不会，因为防火墙会先进 行目的 NAT 转换，而不是先匹配路由表 。

web 配置中， --- 允许服务器使用公网地址上网 --- 自动生成反向 server-map 表项。

web 配置中， --- 安全区域配置，代表仅该安全区域中的用户可以通过指定的公网 IP 地址来访问内部 服务器

多出口场景NAT Server

防火墙作为企业出口网关，双出口，双ISP接入公网时，NAT Server的配置通常要一分为二，让一个私网服务器向两个 ISP 发布不同的公网地址，供公网用户访问 。

方法一

将接入不同ISP 的公网接口规划在不同的安全区域中，然后配置 NAT Server 的时候 ---> 携带上安全区 域参数。使得同一个服务器向不同安全区域发布不同的公网地址 。

[FW]nat server zone Untrust_1 protocol tcp global 11.0.0.10 9980 inside

192.168.1.1 80

[FW]nat server zone Untrust_2 protocol tcp global 12.0.0.10 9980 inside

192.168.1.1 80

方法二

将接入不同ISP 的公网接口规划在相同的安区区域，配置 NAT Server 时，关闭服务器访问互联网功 能。 --- 因为需要发布多个公网 IP 地址，若开启该功能，会导致 server-map 表项冲突 。

下述问题是多出口 NAT Server 场景一定会存在的问题。

NAT Server 一分为二时，很大可能会产生报文来回路径不一致问题 。为了避免该问题

避免ISP中的公网用户使用非本ISP的公网地址来访问私网服务器
私网服务器回复报文到达防火墙时，虽然匹配了会话表，但是会话表仅仅是放通流量并转换地址，流量的转发还是要依靠路由表查找出接口

为了解决上述的问题，即保证报文的 源进源回功能 ； 即请求报文从某条路径进入，响应报文依然沿 着同样的路径返回，而不用查找路由表来确定出接口 。

[FW-GigabitEthernet1/0/1]redirect-reverse next-hop 11.0.0.2 --- 开启源进源出功能，设

定下一跳为 11.0.0.2

[FW-GigabitEthernet1/0/1]gateway 11.0.0.2

[FW-GigabitEthernet1/0/2]redirect-reverse next-hop 12.0.0.2

[FW-GigabitEthernet1/0/2]gateway 12.0.0.2 --- 设定网关

目的NAT

指的是对报文中的目的地址和端口进行转换。

根据转换后的目的地址是否固定，目的 NAT 被分为静态目的 NAT 和动态目的 NAT 两种

静态1对1---地址到地址模式

1 、创建目的 NAT 地址池

[FW]destination-nat address-group nat_01

[FW-dnat-address-group-nat_01]section 192.168.1.2 192.168.1.3 --- 这里的地址是企业内

部的私网地址

2 、配置 NAT 策略

[FW]nat-policy

[FW-policy-nat]rule name policy_nat1

[FW-policy-nat-rule-policy_nat1]source-zone untrust

[FW-policy-nat-rule-policy_nat1]destination-address range 12.0.0.10 12.0.0.11 --

- 公网地址，与防火墙连接 untrust 接口的 IP 地址处于相同网段

[FW-policy-nat-rule-policy_nat1]action destination-nat static address-to-address

address-group nat_01 --- 设定动作为允许进行目的 NAT 转换，且机制为静态的地址到地址模式，调用地址族

3 、配置黑洞路由

在该模式中，公网地址和私网地址的绑定关系，与配置顺序有关 。

在该模式中，只能对 IP 地址进行转换，不能进行端口转换。而服务器的端口为 80 ，所以导致防火墙

也只能接收处理 80 端口的公网报文 。 ---> 存在安全隐患。

[FW-policy-nat-rule-policy_nat1]action destination-nat static address-to-address

address-group nat_01 80 --- 命令最后加的参数 80 ，即为数据报文转换后的端口号

添加该命令后，无论访问哪个地址的任意端口，都能定向访问服务器的 80 端口。

静态1对1---端口到端口

相当于将访问公网的端口和私网的端口进行一对一的映射，给内网做了一个隐秘接口。

服务中的内容，相当于公网的对外端口，可以编写多个。如果为多个，则目的端口转换信息也需要

配置多个，目的端口必须为内网中真实存在的端口信息。

静态多对1---端口到地址

通过一个公网地址的不同端口去映射到内部不同的私网地址的同一个端口 。

静态多对多---地址到端口

通过不同的公网地址的相同端口来映射内网的相同地址的不同端口

实际上，一般在防火墙上，使用 NAT Server 就可以完成大部分的需求 。

双向NAT

同时改变报文的源地址和目的地址 。

不是单独的功能，而是源NAT 和 NAT Server 的组合。 ---> 组合指的是针对 同一条数据流 ，在经过防 火墙时，同时转换报文的源地址和目的地址 。

域间NAT
- 报文的源地址和目的地址属于不同的安全区域。
- NAT inbound --- 低级别安全区域访问高级别安全区域
  - 通常会与NAT Server配合使用
- NAT outbound --- 高级别安全区域访问低级别安全区域
  - 内网用户访问外网资源--->使用
域内NAT
- 报文的源地址和目的地址属于相同的安全区域。
- 域内NAT经常会和NAT Server配合使用。

当域间 NAT 或域内 NAT 和 NAT Server 一起配合使用时，也就实现了双向 NAT

域间NAT+NAT Server场景

1 、安全策略（设定由外至内的安全策略）



2 、配置 NAT Server

[FW]nat server protocol tcp global 202.1.1.10 9980 inside 192.168.1.1 80



3 、源 NAT

[FW]nat address-group nat01

[FW-address-group-nat01]mode pat

[FW-address-group-nat01]section 192.168.1.10 192.168.1.10 --- 注意点：源 NAT 地址池中

配置的是私网地址，这是因为流量方向为从外至内

[FW-address-group-nat01]route enable



4 、 NAT 策略

nat-policy

rule name nat_01

source-zone untrust

destination-zone trust

destination-address 192.168.1.1 mask 255.255.255.255

action source-nat address-group nat01

注意：这里的 NAT 策略中的目的地址不是公网地址，而是 NAT Server 转换后的地址 。

当使用双向 NAT 转换时，内网服务器在回复报文时，回复的目的地址为与服务器同网段的 IP 地址，

此时服务器可以 不需要配置网关信息 ，而是直接发送 ARP 广播报文来询问目的地址对应的 MAC 信息，而防火墙会回复该ARP 报文。 ---> 前提：私网服务器与防火墙处于相同网段 。

域内NAT + NAT Server场景

因为，来回路径不一致导致数据报文被丢弃。

1 、安全策略

DNS 安全策略

security-policy

rule name dns

source-zone trust

destination-zone untrust

source-address 192.168.1.0 mask 255.255.255.0

destination-address 100.1.1.1 mask 255.255.255.255

action permit

2 、源 NAT 配置 --- 为了让 client 访问 DNS 服务器

nat-policy

rule name policy_dns

source-zone trust

destination-zone untrust

source-address 192.168.1.1 mask 255.255.255.255

destination-address 100.1.1.1 mask 255.255.255.255

service dns

service dns-tcp

action source-nat easy-ip

3 、 NAT Server

[FW]nat server protocol tcp global 12.0.0.10 9980 inside 192.168.1.2 80

客户端使用公网地址访问同企业的服务器时，因为防火墙仅执行了目的地址转换，导致服务器会直

接给 Client 回复数据报文，此时的源 IP 地址为 NAT 转换后的地址，而 client 访问的是 NAT 转换前地址 信息。故导致 client 丢弃该报文。即访问失败 。

解决方式，在FW 上进行 NAT 转换时，将源 IP 地址转换为公网 IP 地址，这样服务器的回复报文将会发 送给 FW ，然后再由防火墙将目的 IP 地址恢复为 Client 想要的 IP 地址进行访问 。

4 、源 NAT 配置

nat address-group nat01 0

mode pat

route enable

section 0 12.0.0.20 12.0.0.20

rule name nat01

source-zone trust

destination-zone trust

source-address 192.168.1.1 mask 255.255.255.255

action source-nat address-group nat01

注意：此时的流量走向是从 trust--->trust 区域，因为数据报文来到防火墙后，先进行目的 NAT 转

换，然后查找路由表发现流量从原接口发回 。

防火墙NAT处理流程

先匹配目的 NAT ，然后匹配路由表，确定目标安全区域，然后执行安全策略 检查，检查通过，在匹配源 NAT 转换。

智能选路

智能选路是指到达目的网段有多条链路可选时， FW 通过不同的智能选路方式，即根据链路带宽、权 重、优先级 ... ，动态的选择最优链路，并根据链路实时状态动态进行调整分配，以此来提高链路资源的 利用率和用户体验 。

出站智能选路 --- 当内网用户访问外网时，如果到达目的地存在多条链路

入站智能选路 --- 当外网用户通过域名访问内网服务器时，向企业内网DNS服务器发起DNS请求，而DNS服务器返回解析地址给外网用户时，防火墙可以将DNS回应报文中的解析地址进行智能修改，给予用户最合适的解析地址。--- 智能DNS。--- 模拟器无法实现

就近选路 --- ISP选路

在多出口网络中，指的是将报文选择离目标网络花销较小的链路进行转发

ISP 路由功能 --- 指的是把各个 ISP 的知名网段都集成在防火墙的内部，通过设置指定的出接口和下一跳批量下发静态路由，从而减少明细路由的配置工作。

健康检查机制 --- 防火墙通过健康检查结果感知到网络中发生的编号，并立即做出相关的调整。必须 与智能选路结合使用才有实际作用 。 --- 可以使用 ICMP 、 HTTP 、 TCP 、 DNS 。

要求;

1 、企业希望访问 Server1 的报文从 ISP1 的链路发送，访问 Server2 的报文从 ISP2 的链路发送

2 、当其中任意一条链路故障时，后续流量可以自动切换到另外一条链路，保证传输可靠性

步骤一：配置健康检查

[FW]healthcheck enable --- 激活健康检查机制

[FW]healthcheck name isp1 --- 创建健康检查模板，名称为 isp1

[FW-healthcheck-isp1]destination 100.1.1.1 interface GigabitEthernet 1/0/1

protocol tcp-simple destination-port 80 ---目标为 100.1.1.1 ，出接口 GE1/0/1 ，协议为 TCP

的简单协议，端口号 80

步骤二：应用健康检查

[FW]interface GigabitEthernet 1/0/1

[FW-GigabitEthernet1/0/1]healthcheck isp1

[FW]interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2]healthcheck isp2

步骤三：上传 ISP 地址库 --- 该步骤只能在 web 界面上传

步骤四：配置链路接口

[FW]link-interface name isp2

[FW-linkif-1]interface GigabitEthernet 1/0/2 next-hop 12.0.0.2 -- 设定出接口和下一跳

[FW-linkif-1]healthcheck isp2 --- 健康检查

[FW-linkif-1]isp isp2_ 联通 route enable --- 开启 ISP 路由， ISP 路由模板名称为 ISP2_联通

[FW-linkif-1]redirect-reverse enable --- 源进源出

步骤五：安全策略

security-policy

rule name policy_isp

source-zone trust

destination-zone untrust

source-address 192.168.1.0 mask 255.255.255.0

action permit

步骤六：多出口 NAT 策略

关闭链路接口的缺省路由下放功能，否则无法正常下放明细路由 。

在该模式下，一般采用 ISP 下放明细，管理员配置缺省路由的方式，来实现明细 + 缺省的选路方式 。 --- 是配置最简单、最方便实用的，在一般企业网络中都可以应用。 --- 如果企业需要对某种特殊用户 ( 管理者) 、某种特殊应用 (P2P 应用 ) 的流量进行区别转发，则该选路方式无法适用。

策略路由选路

查找路由表进行数据转发 --- 只能根据报文的目的地址为用户提供转发服务； 无法提供有差别的服

务。

所谓的策略路由，即根据一定的策略进行报文转发，因为策略路由是一种比路由更灵活的一种转发 机制，且匹配优先级是高于路由表的 。 --- 策略路由是在路由表已经产生的情况下，不按照现有的路由表进行转发，而是根据用户指定的策略进行路由选择机制。

策略路由无法替代路由表。

多出口组网 --- 策略路由的应用点。

策略路由基本概念

策略路由 --- PBR ；是一种依据用户指定的策略进行路由选择的机制，优先级高于路由表。

设备收到报文后，若能匹配策略，则按照策略路由规则转发；若不能，则根据目的地址查找路由表。

策略路由和路由策略

策略路由 --- 数据包
路由策略 --- 路由项

策略路由 --- 条件+动作

条件 --- 源目安全区域、源目IP地址、协议类型、应用类型等等
- 其中 --- 源安全区域和入接口是互斥选项。
- 一条策略中，可以包含多个匹配条件，而多个条件之间的关系是“与”关系。报文必须满足所有条件才认为是匹配成功。而每一个条件中可以包含多个参数，参数之间关系为“或”关系，报文只需要匹配一个即匹配该条件。

动作 ---
- 转发
  - 单出口 --- 报文发送到指定的下一跳设备或从指定接口发出
  - 多出口 --- 利用智能选路功能，从多个接口中选择一个出接口发送
- 转发到其他虚拟系统
- 不做策略路由 --- 按照现有的路由表进行转发

匹配规则：自上而下，逐一匹配，一旦匹配，则不再向下匹配 。

如果策略路由中指定的出接口或下一跳 Down 或不可达，那么报文将以目的地址为依据查找路由表

进行数据转发

        路由器上的策略路由

--- 本地策略路由 --- 仅对本地下放的数据报文起作用，不对转发的报文起作用。

--- 接口策略路由 --- 仅对转发的报文起作用，不对本地下放的报文起作用

        ---流策略技术

                流策略、流行为、流分类

基于源IP地址的策略路由

要求：

1 、市场部，对网速要求较高，通过 ISP-A

2 、研发部，对网速要求不搞，通过 ISP-B

1 、安全策略配置

security-policy

rule name trust_to_untrust

source-zone trust

destination-zone untrust

source-address 192.168.1.0 mask 255.255.255.0

action permit

2 、 IP-Link 安全策略

IP-Link 功能 --- 指的是 FW 通过向指定目的 IP 周期性发送探测报文并等待应答 ，来判断链路是否

发生故障。

FW 发送三次探测报文（ 15S 时间），没有收到响应报文，则认为链路故障， IP-Link 状态切换

为 down

rule name ip_link

source-zone local

destination-zone untrust

action permit

3 、 IP-Link 功能

[FW]ip-link check enable --- 开启 IP-link 功能

[FW]ip-link name pbr_1 --- 创建 ip-link 列表

[FW-iplink-pbr_1]destination 34.0.0.4 interface G 1/0/1

[FW]ip-link name pbr_2

[FW-iplink-pbr_2]destination 24.0.0.4 int g 1/0/2

4 、配置策略路由

policy-based-route --- 进入 PBR 配置视图

rule name pbr_1 ---- 创建

source-zone trust --- 源区域

source-address 192.168.1.1 mask 255.255.255.255 --- 源地址

destination-address 100.1.1.1 mask 255.255.255.255 --- 目的地址

track ip-link pbr_1 ---- 绑定 IP-Link 监控

action pbr next-hop 13.0.0.3 --- 设定动作以及下一跳

5、配置NAT

旁挂出口选路

但是， 此时的策略路由不是在防火墙上配置的，而是在路由器或核心交换机上配置

此时， 防火墙的任务是对流入的流量进行安全防护，以及将流量回注到路由器上 。

PC1--->Internet:

        PC1---R3---R2

外网回程流量：

        R2---R3---FW

        FW---R3---PC1

静态路由配置

R3 ：

        缺省路由指向外网环境

        PBR将回程流量引入到 FW

FW ：

        使用静态路由将流量回注给R3

1 、 ACL 抓取流量

[r3]acl 2000

[r3-acl-basic-2000]rule permit source 100.1.1.1 0



2 、流分类

[r3]traffic classifier 1

[r3-classifier-1]if-match acl 2000



3 、流行为

[r3]traffic behavior 1

[r3-behavior-1]redirect ip-nexthop 10.1.2.1



4 、流策略

[r3]traffic policy 1

[r3-trafficpolicy-1]classifier 1 behavior 1



5 、调用策略

[r3]int g 0/0/2

[r3-GigabitEthernet0/0/2]traffic-policy 1 inbound

全局选路策略

等价路由 --- 逐流负载分担转发模式 ；使用源 IP 地址和目的 IP 地址进行 HASH 计算选择出接口。不需要考虑链路的实际带宽或者链路的实际状态。

根据带宽、权重、优先级、质量等等链路的参数，来作为用户流量的转发选择。

链路带宽负载分担

FW按照带宽比例将流量分配到各个链路上 。

FW根据各个接口指定带宽的比例来分配流量，而不是根据流量的实际流速来分配。所以，各接口链路上分配的流量比例只能是接近带宽比例，但是会存在一定的波动。

过载保护机制 --- 管理员为每一条链路设定一个保护阈值，假定为 90% 。当某条链路带宽使用率达到90%，已建立会话的流量仍从该链路发送。而未建立会话的会从其他未过载的链路中智能选路，后续按照未过载链路之间的带宽比例进行负载分担。 --- 如果所有链路都已经过载，那么防火墙按照最初的规划进行流量转发。

会话保持机制 --- 上网用户流量首次选择某条链路后， FW 会生成相应的会话表项，而后续新的流量

如果命中了该会话表项， FW 按照会话表项中记录的链路转发流量

1 、配置链路接口

[FW]link-interface name R2 ---- 创建链路接口

[FW-linkif-0]interface GigabitEthernet 1/0/2 next-hop 12.0.0.2 --- 设定该链路

接口参数

[FW-linkif-0]redirect-reverse enable

[FW]link-interface name R3

[FW-linkif-1]interface GigabitEthernet 1/0/1 next-hop 13.0.0.3

[FW-linkif-1]redirect-reverse enable --- 开启源进源出功能

2 、配置接口所在链路带宽以及过载保护机制

[FW-GigabitEthernet1/0/1]bandwidth ingress 200000 --- 入方向带宽为 200M

[FW-GigabitEthernet1/0/1]bandwidth egress 200000 --- 出方向带宽为 200M

[FW-GigabitEthernet1/0/1]bandwidth ingress 200000 threshold 95 -- 入方向带宽

200M 以及过载保护，过载保护阈值 95%

gateway 13.0.0.3 --- 设定网关（进入其接口）

3 、配置全局选路策略

[FW]multi-linkif --- 进入多出口链路策略配置视图

[FW-multi-linkif]mode proportion-of-bandwidth --- 选择链路带宽负载分担

[FW-multi-linkif]add linkif R2 --- 添加链路接口

[FW-multi-linkif]add linkif R3

[FW-multi-linkif]session persistence enable --- 开启会话保持功能

[FW-multi-linkif]session persistence mode destination-ip --- 设定会话保持功能模

式为目的IP

链路质量负载分担模式

FW优先使用链路质量高的链路转发 。

丢包率 --- FW发送若干个探测报文后，统计丢包的个数，从而计算得出的丢包概率
时延 --- 回应报文的接收时间减去探测报文的发送时间；而是发送多次探测报文，取平均值
时延抖动 --- 相邻两次探测的时延之差；需要多次计算，取平均值。

防火墙会自动向目的 IP 发送链路质量探测报文，从而获取探测信息 ---> 保存在链路质量探测表中 。

当有流量到达防火墙时，防火墙会根据报文的目的 IP 去匹配探测表；如果探测表中存在记录，按照

探测结果转发数据，如果未匹配，则自动向目的 IP 发起质量探测，并将结果记录在表项中 。 --- 默认情况下，链路质量探测报文的类型TCP 协议。如果是针对非 TCP 业务流量，则使用 ICMP 协议进行探测。

链路权重负载分担模式

简单略

链路优先级主备备份模式

FW 优先使用主接口转发流量

主备备份
- FW优先使用主接口转发流量，如果没有为主接口配置过载保护阈值，那么即使过载，FW也不会使用其他链路传输
- 只有配置了过载保护阈值，优先级次高的接口才会启动，替代主接口进行数据转发。

负载分担
- 为各个接口设置过载保护阈值。当主接口过载时，FW优先使用次高的备份接口和主接口一起分担流量。

备份接口自动关闭功能 ：会将主接口以外的接口全部关闭。只有当主接口故障或过载保护时，最优

的备份接口才会 up 。

透明DNS选路

逻辑：

1. 在企业出口防火墙上，设置一个 “ 虚拟 DNS 服务器 ” ，将内网用户的 DNS 设定为这个虚拟 DNS 服务器的地址。

2. 当内网用户发送 DNS 请求时，虚拟 DNS 服务器作为中间人 ，根据预配置的算法，将 DNS 请求报文发送给各个ISP 内部的 DNS 服务器。

简单轮询算法 --- 依次分配
加权轮询算法 --- 将DNS请求按照一定权重依次分配到各个ISP的DNS服务器上

3. 不同 ISP 的 DNS 服务器根据请求信息进行解析，并将解析结果回复给防火墙，由防火墙返回给内网用户

4. 内网用户使用不同的解析 IP 地址进行访问，实现流量负载分担

配置：

1 、配置真实 DNS 服务器信息

[FW]slb enable --- 开启服务器负载均衡功能

[FW]slb --- 进入服务器负载均衡配置视图

[FW-slb]group 0 dns --- 创建服务器组

[FW-slb-group-0]metric roundrobin --- 算法修改为简单轮询算法

[FW-slb-group-0]rserver 1 rip 100.1.1.1 port 53 --- 设定真实服务器 IP 地址，端口号

[FW-slb-group-0]rserver 0 rip 200.1.1.1 port 53

2 、创建虚拟服务，虚拟 DNS 服务器

[FW]slb

[FW-slb]vserver 0 dns --- 创建虚拟服务器组

[FW-slb-vserver-0]vip 10.10.10.10 --- 设定虚拟服务器 IP 地址

[FW-slb-vserver-0]group dns --- 关联真实服务器组，组名为 dns

3 、配置 DNS 透明代理功能

[FW]dns-transparent-policy --- 进入 DNS 透明代理视图

[FW-policy-dns]dns transparent-proxy enable --- 开启透明代理功能，模拟器上无法通

过 web 界面配置，只能命令开启

[FW]dns-transparent-policy

[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/1 preferred

100.1.1.1 --- 将 200.1.1.1 这个 DNS 的 IP 地址与出接口绑定

[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/2 preferred

200.1.1.1

透明代理策略

[FW]dns-transparent-policy

[FW-policy-dns]rule name dns_policyt --- 创建策略规则

[FW-policy-dns-rule-dns_policyt]source-address 192.168.1.0 24 --- 设定源 IP 地址

[FW-policy-dns-rule-dns_policyt]enable --- 启用规则

[FW-policy-dns-rule-dns_policyt]action tpdns --- 配置 DNS 透明代理规则动作为 “ 代理‘'