目录
基本概念
简介
随着业务的不断发展,企业为例提高出口链路的带宽和可靠性,一般会在出口部署多条链路。
智能选路技术可以根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择最优链路,提高了链路资源的利用率和用户体验。
智能选路分类
智能选路主要分为出战智能选路和入站智能选路两种
出战智能选路:全局智能选路、策略路由智能选路、ISP选路。 DNS透明代理(修改DNS请求报文,指导内网如何出战)
入站智能选路:智能DNS(修改回应DNS请求的报文,指导外网用户如何入站)
全局智能选路
全局智能选路链路质量负载分担实验配置_多谢思考的博客-CSDN博客
https://blog.csdn.net/m0_49864110/article/details/125150173
在多出口场景下,当到达目的网络有多条等价路由或缺省路由时,全局选路策略可以根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择出接口。
全局智能选路方式
根据链路带宽负载分担
在各条链路的出接口上配置入方向和出方向的带宽与过载保护阈值,按照各链路的带宽比例将流量分配到各条链路上
根据链路质量负载分担
根据链路的丢包率、时延、时延抖动(选其中的一个或多个参数)衡量链路质量,有限使用链路质量高的链路转发流量,当链路流量超过了过载保护阈值后使用质量次之的链路。
三个参数中,丢包率的优先级最高(即当两条链路的丢包率、时延、时延抖动都不相同时,选取丢包率最小的链路为质量高的链路)
根据链路权重负载分担
在各条链路的出接口上配置权重,按照权重比例将流量分配到各条链路上
根据链路优先级主备备份/负载分担
在各条链路的出接口上配置优先级,优先级最高的接口称为主接口,其余称为备用接口。
分为主备备份和负载分担两种情况
- 主备备份:优先使用主接口转发,当流量超过保护阈值也不会使用其他链路传输流量,除非主接口出现故障。
- 负载分担:优先使用主接口转发,当流量超过保护阈值后使用其他链路传输流量
策略路由智能选路
策略路由选路多出接口实验配置_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/125150280
先选择目的网络对应的策略路由,再选择对应的出接口
- 当到达目的网络有多条策略路由时,根据策略路由的匹配条件与顺序选择对应的策略路由
- 当流量命中策略路由,策略路由只有一个出接口时,直接从此出接口出去
- 当流量命中策略路由,策略路由有多个出接口时,根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择出接口。
策略路由匹配条件
匹配条件可以将要做策略路由的流量区分开
1.匹配条件中的源安全区域与入接口为必选项(但是只能配置两者中的一个)
2.源/目地址、用户、服务、应用、时间段、DSCP优先级都为可选项
策略路由匹配规则
当有多个策略路由时,按照策略路由列表的顺序依次匹配策略路由。越靠前越优先
每条策略路由包含多个匹配条件,每个条件之间是“与”的关系
一个匹配条件可以配置多个值,每个值之间是“或”的关系
策略路由动作
1.匹配条件的流量依照策略路由的出接口转发
单个出接口----直接从此接口转发
多个出接口----依照智能选路功能,从多个出接口选则性转发(同全局智能选路的方式)
2.匹配条件的流量转发到其他虚拟系统
3.匹配条件的流量不做策略路由,按照现有的路由表进行转发。
ISP选路
ISP选路也称为运行商地址库选路,当FW作为出口网关设备连接多个ISP网络时,通过批量生成到运营商网络的ISP路由实现访问特定ISP网络的流量从相应的出接口转发,保证流量转发使用最短路径,提高转发效率。
ISP选路场景
ISP选路单独使用场景
如果用户希望根据报文目的地址所属ISP网络选择相应的出接口,不会绕道其它ISP,使用此场景
ISP选路+策略路由组合使用场景
如果用户希望根据报文目的地址所属ISP网络选择相应的出接口,并根据多出口策略路由进行智能的选路(例如:当此ISP链路过阈值时切换到其他ISP链路上转发流量),实现链路资源的合理利用,可以使用该场景
ISP选路+DNS透明代理组合使用场景+(全局、策略路由可选)
当内网用户通过域名访问Web服务器时,可以使用该场景
DNS透明代理
ISP选路+DNS透明代理实验配置_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/125150356
背景
当内网用户通过域名访问外网Web服务器时,需要通过外网DNS服务器进行DNS解析,如果企业用户配置的DNS服务器地址都是ISP1内的DNS服务器,这就会导致所有的DNS请求都走ISP1链路,ISP2链路空闲。
简介
DNS透明代理就解决了此问题,通过制定DNS透明代理策略,对命中策略的DNS请求报文修改其目的地址(即将DNS请求服务器的地址更换到ISP2),然后上网流量就可以通过不同的ISP链路转发,充分利用了所用链路资源
DNS透明代理策略
通过策略定义哪些流量需要做DNS透明代理
匹配条件:只有DNS请求报文的源地址和目的地址(如果不选则表示所有的DNS请求报文都匹配)
匹配动作:做代理、不做代理
DNS透明代理处理流程
1.当匹配代理策略,动作为做代理后,查看是否在排除域名中
2.在排除域名中,不做DNS透明代理,结束
如果在排除域名中指定了地址,则替换请求目的地址
如果没有指定地址,正常转发
3.不在排除域名中,打上DNS透明代理标记,进行DN透明代理选路
4.可以根据策略路由智能选路/全局智能选路/静态、动态路由选路/DNS透明代理自身配置的选路方式进行选路,找到出接口
5.如果出接口绑定了DNS服务器地址,则DNS请求的目的地址就转为此IP地址
智能DNS
背景
企业内网部署DNS服务器,当外网通过域名访问企业内网Web服务器时,通过内网的DNS服务器解析出Web服务器的公网IP地址(假设此公网IP地址属于ISP1),但是当ISP2的用户访问此Web服务器时,就需要绕到ISP1进行访问,这样就可能导致ISP1网络阻塞,ISP2网络闲置。
简介
智能DNS功能,根据智能DNS映射表,将DNS回应报文中的解析地址进行修改(如果果之前时ISP1的公网地址1.1.1.1,则可以修改为ISP2的公网地址2.2.2.2),保证流量最短路径,业务体验最优。
实现智能DNS方式
出接口方式:只会返回一个服务器的地址给每个用户
智能轮询方式:通过简单轮询或加权轮询算法按照一定的权重比例给用户分配不同的解析地址
智能DNS分类
单服务器智能DNS
企业内网只部署一台Web服务器(企业内网的DNS服务器上的一个Web域名与一个Web IP地址对应)
多服务器智能DNS
企业内网部署多台Web服务器(企业内网的DNS服务器上的一个Web域名与多个Web IP地址对应)
注意事项
智能DNS功能需要配合NAT Server功能和源进源出功能一起使用
- 通过NAT Server功能,将访问报文的目的地址由公网地址映射为Web服务器的私网地址。(如果Web服务器配置的地址为公网IP地址,则不用配置NAT Server)
- 通过源进源出功能,可以保证转发DNS响应报文时,直接使用入接口作为DNS响应报文的出接口,而不是通过查找路由表来确定出接口,避免报文来回路径不一致导致访问速度慢或业务中断等问题。
辅助技术
会话保持
一般在全局智能选路中的四种选路方式下、策略路由多出口的四种选路方式下配置会话保持功能
在上网用户流量首次选择了某链路后,会生成相应的会话保持表项,接下来的流量就按照此表项记录的链路进行转发(即使此链路已经过了保护阈值)
关闭会话功能或修改会话保持模式后,FW会立即删除该智能选路策略对应的所有会话保持表项(可能导致部分用户发生链路切换)
会话保持方式:源IP、目的IP两种方式
链路质量检查
一般在全局智能选路——根据链路质量负载分担方式、策略路由多出口——根据链路质量负载分担方式下使用
在链路可行的前提下进行探测,得到链路的丢包率、时延、时延抖动等链路信息
缺省链路质量探测表是1800s
当流量命中质量探测表后,不会刷新表项老化时间
当链路质量探测表老化后,新的流量触发智能选路时需要重新进行质量探测
探测协议:简单TCP、ICMP两种协议
链路健康检查
当接口为智能选路的成员接口时,可以在接口下应用健康检查
检查链路的可行性
探测协议:TCP、简单TCP(无需完成三次握手)、ICMP、HTTP、DNS、RADIUS六种协议
扫一扫
485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
