配置ISP选路实现报文按运营商转发

最新推荐文章于 2024-03-02 16:50:58 发布
最新推荐文章于 2024-03-02 16:50:58 发布
阅读量1.3k 收藏 4
点赞数
文章标签: isp 负载均衡
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guaijie1995/article/details/120101750
版权


在这里插入图片描述

在我们日常的网络中为了达到冗余要求往往我们都会接入多家运营商的线路到出口设备。

这里我们介绍通过配置ISP选路实现报文按运营商转发的配置举例。

实验要求:

FW作为安全网关部署在网络出口,企业分别从ISP1和ISP2租用一条链路。
企业希望访问Server 1的报文从ISP1链路转发,访问Server 2的报文从ISP2链路转发。
当其中一条链路故障时,后续流量可以通过另一条链路转发,保证传输的可靠性。
ISP选路组网图

在这里插入图片描述
配置思路
配置健康检查功能,分别为ISP1和ISP2链路配置健康检查。
配置接口的IP地址、安全区域和网关地址,并在接口上应用健康检查。
制作isp1.csv和isp2.csv两个ISP地址文件,将Server 1的IP地址3.3.3.3写入isp1.csv文件中;将Server 2的IP地址9.9.9.9写入isp2.csv文件中,并上传到FW上。
配置ISP选路规则功能,使访问Server 1的报文从ISP1链路转发,访问Server 2的报文从ISP2链路转发。
配置基本的安全策略,允许企业内部用户访问外网资源。
操作步骤
开启健康检查功能,并为ISP1和ISP2链路分别新建一个健康检查。

<FW> system-view
[FW] healthcheck enable
[FW] healthcheck name isp1_health
[FW-healthcheck-isp1_health] destination 3.3.10.10 interface GigabitEthernet 0/0/1 protocol tcp-simple destination-port 10001
[FW-healthcheck-isp1_health] destination 3.3.10.11 interface GigabitEthernet 0/0/1 protocol tcp-simple destination-port 10002
[FW-healthcheck-isp1_health] quit
[FW] healthcheck name isp2_health
[FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet 0/0/7 protocol tcp-simple destination-port 10003
[FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet 0/0/7 protocol tcp-simple destination-port 10004
[FW-healthcheck-isp2_health] quit

2.配置接口的IP地址和网关地址,并应用对应的健康检查。

[FW] interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet0/0/1] gateway 1.1.1.254
[FW-GigabitEthernet0/0/1] healthcheck isp1_health
[FW-GigabitEthernet0/0/1] quit
[FW] interface GigabitEthernet 0/0/3
[FW-GigabitEthernet0/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet0/0/3] quit
[FW] interface GigabitEthernet 0/0/7
[FW-GigabitEthernet0/0/7] ip address 2.2.2.2 255.255.255.0
[FW-GigabitEthernet0/0/7] gateway 2.2.2.254
[FW-GigabitEthernet0/0/7] healthcheck isp2_health
[FW-GigabitEthernet0/0/7] quit

3.上传ISP地址文件到FW,可以使用SFTP方式进行传输,具体步骤略。
4.为ISP1和ISP2分别创建运营商名称isp1_ifgrp和isp2_ifgrp,并关联对应的ISP地址文件。
这里需要的isp路由需要大家自己去找或者可以关注公众号回复:“ips路由”来获取。

[FW] isp name isp1_ifgrp set filename isp1.csv
[FW] isp name isp2_ifgrp set filename isp2.csv

5.为ISP1和ISP2分别新建一个ISP接口组,并将接口加入对应的ISP接口组,缺省下发对应的ISP路由。

[FW] interface-group 1 isp isp1_ifgrp
[FW-interface-isp-group-1] add interface GigabitEthernet 0/0/1
[FW-interface-isp-group-1] quit
[FW] interface-group 2 isp isp2_ifgrp
[FW-interface-isp-group-2] add interface GigabitEthernet 0/0/7
[FW-interface-isp-group-2] quit

6.将接口加入安全区域。

[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 0/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 0/0/1
[FW-zone-untrust] add interface GigabitEthernet 0/0/7
[FW-zone-untrust] quit

7.配置Trust到Untrust区域的安全策略,允许企业内网用户访问外网资源。假设内部用户网段为10.3.0.0/24。

[FW-policy-security] rule name policy_sec_trust_untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit

配置脚本

#
 isp name isp1_ifgrp set filename isp1.csv
 isp name isp2_ifgrp set filename isp2.csv
#
healthcheck enable
healthcheck name isp1_health
 destination 3.3.10.10 interface GigabitEthernet0/0/1 protocol tcp-simple destination-port 10001
 destination 3.3.10.11 interface GigabitEthernet0/0/1 protocol tcp-simple destination-port 10002
healthcheck name isp2_health
 destination 9.9.20.20 interface GigabitEthernet0/0/7 protocol tcp-simple destination-port 10003
 destination 9.9.20.21 interface GigabitEthernet0/0/7 protocol tcp-simple destination-port 10004
#
interface GigabitEthernet0/0/1
 ip address 1.1.1.1 255.255.255.0
 healthcheck isp1_health
 gateway 1.1.1.254
#
interface GigabitEthernet0/0/3
 ip address 10.3.0.1 255.255.255.0
#
interface GigabitEthernet0/0/7
 ip address 2.2.2.2 255.255.255.0
 healthcheck isp2_health
 gateway 2.2.2.254
#
 firewall zone trust
  set priority 85
  add interface GigabitEthernet0/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/1
 add interface GigabitEthernet0/0/7
#
security-policy
 rule name policy_sec_trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 mask 255.255.255.0
  action permit
#
interface-group 1 isp isp1_ifgrp
 add interface GigabitEthernet0/0/1
#
interface-group 2 isp isp2_ifgrp
 add interface GigabitEthernet0/0/7
#
return

关注公众号回复:“ips路由”来获取isp路由文件。

在这里插入图片描述
在这里插入图片描述

我是怪先生
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ISP选路+DNS透明代理实验配置
m0_49864110的博客
06-06 695
目录基础配置上传/导入ISP文件到FW开启健康检查、创建健康检查配置接口带宽与过载保护阈值配置链路接口(ISP选路配置DNS透明代理配置安全策略根据图配置相应的接口IP地址与安全区域,配置相应的NAT策略健康检查可以直接应用在接口中,也可以应用在链路接口中(本次应用在链路接口中)根据ISP选择相应的接口出去,当DNS请求时,如果报文匹配DNS透明代理条件并需要进行代理时,将请求报文更改为相应接口所绑定的DNS服务器地址。(如果想通过链路质量等进行选路,可以配置相应的全局智能选路或策略路由)........
01-防火墙智能选路
qianlai22的博客
03-20 8626
在网络出口经常会部署多条出口链路,以增加出口的带宽和可靠性。如果不能够将流量合理的分配到链路上,可能会导致网络出现拥塞,访问速度变慢,链路资源得不到充分利用以及跨运营商访问等问题。 当FW作为网络出口设备拥有多条出口链路时,智能选路功能可以根据管理员设置的带宽、权重和优先级自动探测链路质量并动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验。 1.智能选路应用场景 多出口选路存在的问题 智能选路解决的问题 智能选路功能组件 智能选路选路功能根据不同的需求,可以实现基于全局选路策略的选
防火墙的ISP选路与DNS透明代理
qq_32044265的博客
11-18 3226
ISP选路功能是当FW作为出口网关设备连接多个ISP网络时,使访问特定ISP网络的流量从相应出接口转发,保证流量转发使用最短路径,提高转发效率。 FW会根据DNS请求报文选择的出接口,修改请求DNS服务器地址为其他ISP内的DNS服务器地址
ISP选路
qq_27599713的博客
02-18 896
ISP选路功能也称为运营商地址库选路功能,当FW作为出口网关设备连接多个ISP网络时,通过ISP选路功能可以使访问特定ISP网络的流量从相应出接口转发出去,保证流量转发使用最短路径。
防火墙的ISP选路
zljszn的博客
10-21 1381
2. 防火墙区域的划分(防火墙的g1/0/2接口是属于ISP1接口,所以需要自己新建一个区域然后添加接口,配置优先级,g1/0/3是属于ISP2接口,所以也需要新建一个区域把接口给添加进去,然后再配置优先级)让R1走ISP1的路径访问192.168.1.1,R2走ISP2的路径访问172.16.1.1。8. 抓包查看,去往isp1和isp2的流量分别从防火墙的g1/0/2和1/0/3接口出去了。下载的模板如下图所示,只需要在目的IP地址范围写ISP的地址即可,然后再导入进来即可。1. IP地址的配置略。
ISP选路实验
eys_open的博客
04-13 873
第一步:基础配置(ip地址、区域划分、安全策略) 第二步:创建链路接口(link-interface) link-interface name 1 建立一个链路名称为1 interface g1/0/1 next-hop 1.1.1.1 配置g1/0/1接口,下一跳为1.1.1.1 其他2条链路根据实际配置来设定 第三步:创建ISP文件,并导入ISP文件 第四步:配置NAT nat-policy //进入NA配置策略 rul.
链路负载均衡ISP选路
最新发布
Mario_Ti的博客
03-02 1105
本文介绍链路负载均衡ISP选路,首先介绍默认路由与链路备份、等价路由、最后通过防火墙web界面配置ISP路由与ISP选路
学习笔记:防火墙智能路由选路
TKE_yinian的博客
02-28 3585
简介 当FW作为网络出口设备拥有多条出口链路时,智能选路功能可以根据管理员设置的带宽、权重和优先级自动探测链路质量并动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验。 • 全局选路策略 • 当FW上存在多条等价路由时,全局选路策略带宽、链路质量,权重和优先级动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验。 • 策略路由 • 策略路由能够依据用户制定的策略进行数据的转发...
华为防火墙智能选路简介
qq_32044265的博客
11-15 735
通过部署智能选路功能,可以通过不同的智能选路方式,动态选择最优链路,并根据各链路实时状态动态调整分配结果,以此提高链路资源的利用率和用户体验。
防火墙多选路出口ISP选路、策略路由、智能选路
bluepangzi的博客
09-01 5000
出口智能选路一、ISP选路(二)策略路由(PBR policy-based-router)1、策略路由原理2、工作原理3、策略路由组成 一、ISP选路   NGFW拥有两条属于不同ISP网络的出口链路。当内网用户访问ISP2中的Server2时,如果NGFW 上存在等价路由,则NGFW可以通过两条不同的路径到达Server2.其中,路径2显然不是最优的路径,路径1才是用户所期望的路径。 ISP选路是根据ISP的库动态的产生静态路由。 (二)策略路由(PBR policy-based-router)
isp地址库,csv格式GEOIP
09-11
isp地址库 ip地址查询库 ip运营商查询 ip国家查询
国家isp 列表
12-29
国家isp数据列表, CountryISPList,可用于各种识别数据
Maxmind GeoIP ISP 数据库
04-29
更新到2014-01-23,价值25刀的ISP数据库文件
IP地址所属地 - 2016年7月CSV版本
12-15
2016年最新IP地址所属地 ,CSV地址
思科 IPSec ***配置2:
weixin_33898233的博客
02-05 324
要求: 1. 研发小组可以通过×××访问总公司研发服务器,但不能访问internet 2. 分公司的其他客户端可以访问internet 实验topo构想: 终端配置: ip地址配置: R0配置: Router>enableRouter#conf tRouter(config)#no ip domain lookupRouter(config)#line console 0Router(c...
(9)IP选路
ddppqq的专栏
10-12 1130
一、简介     选路是IP最重要的功能之一。IP层工作流程如下所示: 二、选路的原理     IP搜索路由表的几个步骤为:     (1)搜索匹配的主机地址;     (2)搜索匹配的网络地址;     (3)搜索默认表项(默认表项一般在路由表中被指定为一个网络表项,其网络号为0)。     匹配主机地址步骤始终发生在匹配网络地址步骤之前。IP层进行的选路实际上是一种选路
ip动态选路
xubodong的专栏
03-16 667
路由表的更新操作主要来自于: 1)使用netstat,route进行手动添加或者从interface(我的机子是ubuntu)配置文件中添加静态路由。 2)路由守护程序通过RIP或OSPF协议和其他路由器进行信息交换,从而获得网络拓扑图,并使用最短路算法,bellman-ford或者dijstra算法进行最短路计算。 3)由ICMP协议的路由发现报文和重定向差错报文实现。 以上,1是进
HCIA Security 运营商地址库有什么用?各个智能选路之间的关系
qq_47529104的博客
03-08 751
如图所示,我们在创建链路接口的时候可以进行接口运营商的选择,如果我们没有导入运营商地址库的话,这项是没有东西给你选择的。当我们在这里选择该接口与运营商地址库进行绑定后,我们就可以勾选运营商路由,勾选后防火墙会生成对应运营商地址库的静态路由,比如在地址库中有运营商的地址为192.168.0.33,然后我勾选g1/0/3接口为运营商接口,然后我还勾选了运营商路由,同时下一条选择10.0.0.1,于是防火墙就会生成这样的路由:目标192.168.0.33 下一条10.0.0.1的静态路由,运营商地址库中有...
03. ISP程序一键下载方法
YOURUOLI的博客
02-02 1809
ISP程序一键下载方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值