HECI-Securtiy 防火墙路由技术
目录
一、防火墙路由基本原理
1.路由分类
2.路由优先级
3.路由查询先后顺序
4.静态路由基本原理
(1)指定出接口场景
(2)指定下一跳地址场景
5.静态路由与多出口
(1)主备备份
(2)均衡式负载分担
(3)溢出式负载分担
二、逐流与逐包报文分担方式
三、OSPF链路状态路由协议
1.基本原理
2.OSPF的优点
3.网络类型
4.各网络类型拓扑
5.OSPF认证
(1)两种验证方式
(2)支持的验证模式按加密算法不同分为
四、BGP路由协议
1.介绍
2.特点
3.自治系统(Autonomous System)
4.BGP的运行方式
5.BGP的报文类型
6.BGP状态机
7.BGP通告原则
8.BGP路径属性
9常见BGP路由属性
五、策略路由
1.原理
2.策略路由支持的匹配过程
(1)匹配条件
(2)匹配后的动作
3.智能选路基本原理
4.ISP选路基本原理
五、命令配置
1.配置多出口:主备模式
2.配置多出口:均衡负载分担
3.配置多出口:溢出式负载分担
4.配置OSPF基本功能
(1)配置route id
(2)配置区域及宣告网络
(3)配置接口类型及开销
(4)通告默认路由,强制通告默认路由
(5)配置安全策略
5.配置OSPF高级功能
(1)配置vlink-peer
(2)配置ABR汇总
(3)配置ASBR汇总
(4)配置认证
6.配置BGP基本功能
(1)配置IBGP对等体
(2)配置EBGP对待体,配置认证
(3)宣告路由引入路由
7.配置BGP高级功能
(1)配置BGP反射器
(2)配置BGP路由过滤
(3)配置BGP属性
8.配置策略路由
(1)配置IPlink
(2)配置策略路由
9.配置ISP选路
一、防火墙路由基本原理
1.路由分类
(1)策略路由、智能选路
(2)静态路由、静态路由多出口
(3)动态路由
按作用范围分
IGP路由:RIP,OSPF,ISIS
EGP路由:BGP
按使用算法分
链路状态协议:OSPF,ISIS
距离矢量协议:RIP,BGP
2.路由优先级
| 协议 |
优先级 |
| DIRECT |
0 |
| OSPF |
10 |
| IS-IS |
15 |
| STATIC |
60 |
| RIP |
100 |
| OSPF ASE |
150 |
| OSPF NSSA |
150 |
| IBGP |
255 |
| EBGP |
255 |
| UNKNOWN |
255 |
3.路由查询先后顺序
NGFW进行流量转发时,查询路由的先后顺序是策略路由、明细路由、缺省路由。其中,明细路由是子常用的,包括动态动态路由和静态路由
4.静态路由基本原理
配置静态路由可以在路由选择中国实施非常精确的控制,但是当网络发生变化或者故障时需要手工配置
静态路由可以指定出接口或指定下一跳地址
(1)指定出接口场景
PPP,PPPoE
(2)指定下一跳地址场景
NBMA接口,以太网接口,Virtual-template
5.静态路由与多出口
多出口指的是USG通过多个接口连接到internat或其他网络,多个接口之间形成主备备份或负载分担关系,从而提高了业务可靠性
多出口功能生效的前提是USG上存在多条等价路由
多出口支持的模式:主备模式、负载分担模式:均衡式(缺省模式)、溢出式
(1)主备备份
在主备备份方式下,主接口正常工作时,所有流量都通过主接口传输。只有当主接口故障时,流量才暂时由从接口传输以避免业务中断。一旦主接口恢复正常,设备就将流量重新交由主接口传输。
USG放在智能选路中来实现
(2)均衡式负载分担
在均衡式负载分担方式下,所有接口同时承担流量,USG最多支持8个接口进行负载分担
按百分比负载
按分担方式负载
(3)溢出式负载分担
在溢出式负载分担方式下,正常情况下主接口传输流量,只有当主接口流量超过一定阈值时,才启用从接口共同承担流量。
USG已经不支持,AR路由器仍支持
二、逐流与逐包报文分担方式
根据同一条数据流的多个报文是否由同一个接口转发,负载分担的报文分担方式又分为逐流转发与逐包转发两种
逐包转发可能会导致报文来回路径不一致,这回对依赖于状态检测的特性或者场景的正常使用有影响(比如NAT)
当需要保证报文来回路径一致的情况下请不要选择逐包负载分担方式
| 负载分担方式 |
报文分担方式 |
| 均衡式负载分担(按百分比) |
逐包转发和逐流转发都支持,缺省使用逐流转发 |
| 均衡式负载分担(按分担方式负载分担) |
逐流转发 |
| 溢出式负载分担 |
逐包转发 |
三、OSPF链路状态路由协议
1.基本原理
OSPF(Open Shortest Path First)是IETF组织开发的一个 基于链路状态的内部网关协议。目前针对IPv4协议使用的是 OSPF Version 2(RFC2328)。OSPF是不属于任何一个厂 商或组织私有的路由协议,使用Dijkstra的最短路径(SPF) 算法计算路由。
2.OSPF的优点
适应范围广、快速收敛、无自环
区域划分、路由分级、等价路由
支持验证、组播发送
3.网络类型
支持广播,NBMA(非广播多路访问),P2MP(点到多点),P2P(点到点)四种网络类型
| 类型 |
缺省支持链路 |
组播发送报文 |
单播发送的报文 |
| 广播 |
以太网 |
Hello,LSU,LSAck |
DD,LSR |
| NBMA |
帧中继 |
无 |
Hello,LSU,LSAck,DD,LSR |
| P2MP |
无 |
Hello |
LSU,LSAck,DD,LSR |
| P2P |
PPP,HDLC,LAPB |
Hello,LSU,LSAck,DD,LSR |
无 |
4.各网络类型拓扑
5.OSPF认证
OSPF支持报文验证功能,只有通过验证的OSPF报文才能接受,否则将不能正常建立邻居
(1)两种验证方式
区域验证方式,接口验证方式
(2)支持的验证模式按加密算法不同分为
Null,Simple,MD5,HMAC-MD5
当两种验证方式都存在时,优先使用接口验证方式
四、BGP路由协议
1.介绍
BPG是一种自治系统AS之间的动态路由协议
2.特点
EGP协议:在AS之间进行路由选择和控制
可靠性高:使用TCP作为传输层协议,侦听端口号为179
支持CIDR,增量更新
路径矢量,避免环路
提供防止路由震荡机制
3.自治系统(Autonomous System)
自治系统是由一个技术管理机构、使用统一选录策略的一些路由器的集合
自治系统内部的路由协议——IGP
自治系统之间的路由协议——EGP
4.BGP的运行方式
IBGP和EBGP
5.BGP的报文类型
| 报文类型 |
功能 |
| Open |
负责和对等体建立邻居关系 |
| KeepAlive |
该消息在对等体之间周期性地发送,用以维护连接 |
| Update |
被用作在BGP对等体之间传递路由信息 |
| Notification |
当BGP Speaker检测到错误的时候,就发送该消息给对等体 |
| Route-refresh |
Route-refresh报文用来通知对等体自己支持路由刷新能力,并触发对方重新发送其路由信息 |
6.BGP状态机
7.BGP通告原则
(1)存在多条有效路由时,BGP Speaker只将最优路由发布给对等体
(2)BGP Speaker只把自己使用的路由发布给对等体
(3)BGP Speaker从EBGP获得的路由会向它所有BGP对等体发布(包括EBGP对等体和IBGP对等体)
(4)BGP Speaker从IBGP获得的路由不向它的IBGP对等体发布
(5)BGP Speaker从IBGP获得路由发布给它的EBGP对等体
(6)连接一旦建立,BGP Speaker将把自己所有BGP路由发布给新对等体
8.BGP路径属性
BGP路径属性是一组描述BGP前缀特性的参数
BGP路径属性可以被分为四大类:
公认必遵(Well-known mandatory)
公认任意(Wel-known discretionary)
可选过渡(Optional transitive)
可选非过渡(Optional non-transitive)
9常见BGP路由属性
1、Origin
2、AS_PATH
3. Next hop
4、MED
5、Local-Preference
6、Atomic_Aggregate
7、Aggregator
8、Community
9、Originator_ID
10、Cluster-List
11、MP_Reach_NLRI
12、MP_Unreach_NLRI
13、Extended_Communities
五、策略路由
1.原理
策略路由是在路由表已经产生的情况下,不按照现有的路由 表进行转发,而是根据用户制定的策略进行路由选择的机制 策略路由并没有替代路由表机制,而是优先于路由表生效 ,为某些特殊业务指定转发方向。
场景:基于用户的选路,基于协议、应用的选路
2.策略路由支持的匹配过程
(1)匹配条件
源安全域,入接口,IP地址,服务类型,应用类型,用户
(2)匹配后的动作
策略路由:发送报文到指定下一跳,发送报文到指定出口
不做策略路由
3.智能选路基本原理
智能选路功能是一种基于策略的选路技术,可以按照不同的需求设 置相应的智能选路方式,从而达到理想的分流效果。NGFW支持以 下4种智能选路方式:
根据链路带宽负载分担 ,根据链路权重负载分担 ,根据链路优先级主备备份 ,根据链路质量负载分担
4.ISP选路基本原理
ISP选路功能的实现原理是:生成ISP对应的IP地址文件,并上传到防火墙上,通过指定IP地址文件的下一跳,批量生成静态路由,用户的访问流量按照该静态路由,被分别转发到对应运营商网络。
设备出厂时默认支持如下ISP的IP文件:
china-mobile:中国移动
china-telecom:中国电信
china-educationnet:中国教育网
china-unicom:中国联通
五、命令配置
1.配置多出口:主备模式
1.配置负载分担模式
load-balance multi-interface standby
2.配置主接口
interface g1/0/1
ip add 1.1.1.1 255.255.255.0
standby ineterface g1/0/7 255
3.配置从接口
interface g1/0/7
ip add 2.2.2.2 255.255.255.0
4.配置路由
ip route-static 0.0.0.0 0 10.1.1.2
ip-route-static 0.0.0.0 0 10.1.2.2
5.配置验证
display standby state
2.配置多出口:均衡负载分担
1.配置接口
interface g1/0/1
ip add 1.1.1.1 255.255.255.0
route weigh 50
2.配置负载分担方式
load-balance multi-interface flow
3.配置路由
ip route-static 0.0.0.0 10.1.1.2
ip route-static 0.0.0.0 10.1.2.2
3.配置多出口:溢出式负载分担
1.配置主用接口
interface g1/0/1
ip add 10.1.1.1 255.255.255.0
standby interface g1/0/2
standby threshold 80 30
2.配置分担接口
interface g1/0/2
ip add 10.2.1.1 255.255.255.0
3.配置负载分担方式
load-balance multi-interface packet
4.配置路由
ip route-static 0.0.0.0 0 10.1.1.2
ip route-static 0.0.0.0 0 10.1.2.2
5.验证配置
display standby state
4.配置OSPF基本功能
(1)配置route id
系统视图下
router id 1.1.1.1 或 ospf 1 route-id 1.1.1.(2)配置区域及宣告网络
ospf 1
area 0.0.0.1
network 10.1.1.0 0.0.255.255
stub
area 0.0.0.3
stub no-summary(3)配置接口类型及开销
inter g1/0/1
ospf network-type p2p
ospf cost 20(4)通告默认路由,强制通告默认路由
default-route-advertise
default-route-advertuse always(5)配置安全策略
安全策略要放行OSPF协议
5.配置OSPF高级功能
(1)配置vlink-peer
本端配置
ospf 1 router-id 1.1.1.1
area 2
vlink-peer 2.2.2.2
对端配置
ospf 1 router-id 2.2.2.2
area 2
vlink-peer 1.1.1.1(2)配置ABR汇总
ospf 100
area 1
network 36.42.10.0 0.0.0.255
netwokr 36.42.11.0 0.0.0.255
abr-summary 36.42.0.0 0.0.0.255(3)配置ASBR汇总
ospf 100
asbr-summary 10.2.0.0 255.255.0.0
asbr-summary 10.3.0.0 255.255.0.0 not-advertise
asbr-summary 10.4.0.0 255.255.0.0 tag 2 cost 100(4)配置认证
本段配置
interface g1/0/1
ospf authentication-mode md5 15 cipher huawei@123
对端配置
interface g1/0/1
ospf authentication-mode md5 15 cipher huawei@1236.配置BGP基本功能
(1)配置IBGP对等体
本端
bgp 10
router-id 1.1.1.1
peer 2.2.2.2 as-number 10
peer 2.2.2.2 connect-interface loopbacke 0
对端
bgp 10
router-id 2.2.2.2
peer 1.1.1.1 as-number 10
peer 1.1.1.1 connect-interface loopback 0(2)配置EBGP对待体,配置认证
本端
bgp 10
router-id 2.2.2.2
peer 23.1.1.2 as-number 30
peer 1.1.1.2 password simple huawei123
对端
bgp 30
router-id 3.3.3.3
peer 23.1.1.1 as-number 10
peer 1.1.1.2 password simple huawei123(3)宣告路由引入路由
本端
bgp 10
network 23.1.1.0 255.255.255.0
import route ospf
import route direct
对端
bgp 30
netwokr 23.1.1.0 255.255.255.0
import route isis
import route direcr7.配置BGP高级功能
(1)配置BGP反射器
本地
bgp 10
router-id 2.2.2.2
peer 3.3.3.3 as-number 10
peer 3.3.3.3 connect-interface
bgp 10
router-id 4.4.4.4
peer 3.3.3.3 as-number 1-
peer 3.3.3.3 connect-interface
对端
bgp 10
router-id 3.3.3.3
peer 2.2.2.2 as-number 10
peer 2.2.2.2 connect-interface loopback 0
peer 4.4.4.4 as-number 10
peer 4.4.4.4 connect-interface loopback 0
peer 2.2.2.2 reflect-client
peer 4.4.4.4 reflect-client(2)配置BGP路由过滤
aci number 2000
rule 5 deny source 50.0.0.0 0.255.255.255
rule 10 permit
bgp 10
peer 4.4.4.4 filter-policy 2000 import(3)配置BGP属性
bgp 10
peer 3.3.3.3 next-hop-local
peer 3.3.3.3 route-policy change_as_path import 8.配置策略路由
(1)配置IPlink
ip-link check enable
ip-link 1 destination 202.168.10.1 mode icmp
ip-link 2 destination 202.169.10.1 mode icmp(2)配置策略路由
基于用户
policy-based-route
rule name pbr_1
description pbr_1
source-zone trust
user /marketing
user /president
track ip-link 1
action pbr next-hop 202.168.10.1
rule name pbr_2
source-zone trust
user /research
track ip-link 2
action pbr netx-hop 202.169.10.1
基于应用
policy-based-route
rule name pbr_1
source-zone trust
application category
Business_Systems
track ip-link 1
action pbr egress-interface
g1/0/2 next-hop 202.168.10.1
rule name pbr_2
source-zone trust
application categroy
Entertainment
track ip-link 2
action pbr egress-interface
g1/0/4 next-hop 202.169.10.1
基于源地址
policy-based-route
rule name pbr_1
source-zone trust
source-address 10.1.1.0 24
track ip-link 1
action pbr next-hop 202.168.10.1
rule name pbr_2
source-zone trust
source-address 10.1.2.0 24
track ip-link 2
action pbr next-hop 202.169.10.19.配置ISP选路
1.上传IP地址文件
ftp 10.1.10.1
get isp1.csv
get isp2.csv
2.配置IP地址文件的出接口
isp set filename isp1.csv next-hop 211.1.1.1
isp set filename isp2.csv next-hop 221.1.1.1
3.启用导入的IP地址文件
isp enable filename isp1.csv
isp enable filename isp2.csv
4.检查配置
display ip route