目录
数据转发核查的过程
首先了解这个过程,后面关于nat的转换有帮助
这个会话表可能之前的数据包帮忙创建好了,那后续的报文可以通过会话表直接进行转发
先抓流量,然后进行处理,然后安全策略做了两件事情(第一件就是访问控制也就是拒绝和允许,如果是允许的话就进行第二件事情内容安全的检查)。再往下就是刷新会话表,因为会话表有老化时间,刷新老化时间。之后在转发报文。
当然不存在会话表的话,只有首包可以创建会话表(逻辑上的首包例如tcp协议的首包是svn,icmp首包一定是request请求报文,dhcp的话首包是基于udp的,udp没首包)。然后再看serverMap表,不能把端口号全部放空,我们必须知道它用的哪一个端口号,然后使用serverMap表开一个隐形通道,让它允许创会话表。然后在查看路由表,必须存在路由。在进行包过滤规则,这里就是进行安全策略的第一个动作也就是访问控制。有nat就进行nat匹配。以上看完了就创建会话表,然后在转发报文。
NAT的分类
NAT
静态NAT
动态NAT
Napt
一对多 --- easy ip
多对多的NAPT
服务器映射
静态nat是一对一
动态nat是多对多
多对一的玩法就一个easy ip,从那个接口流出来的就用哪一个接口的ip做做转发
动态nat/多对于多的napt 地址池中的地址
注意
不过选择这些之前记得配置安全策略,必须要先放空。Nat策略是一个转换的策略。安全是一个放空的策略。
一对多 --- easy ip
注意
源NAT是在安全策略之后执行转换。安全策略和安全策略的执行顺序:先安全后nat。BG区的流量是转换前的地址,先通过转换前的安全地址放通之后在做NAT转换。
安全策略关注五元组,nat会影响五元组。
多对多的NAPT
允许端口地址转换其实就是运用的napt的技术(pat)
PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
PAT是一种将私有IP地址和端口号映射为公共IP地址和不同的端口号的技术,也称为NAPT(Network Address Port Translation)。
在PAT中,多个内部主机可以共享同一个公共IP地址,通过不同的端口号来区分不同的主机。
PAT通过修改端口号来实现多个内部主机同时使用同一个公共IP地址与外部网络通信,这种映射是一对多的关系。
健康状态检查---无非就是提前去测试。
为什么要配置黑洞路由
空接口路由-黑洞路由(防环)
黑洞路由--就是路由指向空接口
路由黑洞--就是汇总路由里有不存在的路由,最怕的是怕对方设备存在缺省。
配置 192.168.0.0 Null 0
为什么要去配置空接口路由:
配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口,这里主要是为了应对公网地址和出接口地址不在同一个网段的情况,因为在这种情况下,如果公网用户访问地址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果公网地址池地址和出接口在同一个网段,也可以勾选该选项,这种情况下虽然不会出现环路,但是,有了这个黑洞路由,可以减少ARP报文的出现;
引出来的其他问题
这个从pc6 ping12.0.0.5 也就是FW1的1/0/1接口的漂浮地址。结果就是大量的ICMP在这个接口上看见。
在r5有路由地址到12.0.0.0/24的路由,然后FW1上面有缺省指向r5,因为从一个接口进在从同一个接口出是不会触发安全策略的,然后r5查表指向FW1
如果改成同一条网段,12.0.0.0/24
不会在出环,虽然不会ping通,为什么呢?
解决
用到这个图
走到路由表就是直连,然后就看能不能命中包过滤规则也不能命中包过滤规则跟之前也是一样的。
原因:
缺省直接发给对方设备,不需要去访问mac地址,之前那个是知道ISP的,也就是知道ISP的mac地址,发给它下一条。
直连的话需要先arp协议去本地直连路由访问去目标地址的mac地址,然后再去发,访问到了在把封装的二层发出。
又要一个问题为什么去匹配空接口不去匹配直连:
匹配空接口,没有匹配直连接口是因为最长匹配原则,空接口是32位
建议还是勾选上黑洞路由,它也会减少arp的报文。
安全区域是局域区域来进行划分的,但是最底层是局域接口来进行划分的
从一个接口进在从同一个接口出是不会触发安全策略的
三元组和五元组
(都是针对NAPT技术)
五元组NAT --- 通过源IP,源端口,目标IP,目标端口,协议五个参数来标定一次NAT的转
换,如果任何一个参数发生变化,都需要更换端口来进行转换。
三元组NAT --- 仅识别源IP,源端口和协议三个参数来区分一次NAT的链接。
端口预分配 --- 可以设定端口转换使用的端口范围
源IP地址数量限制 --- 可以设定一个公网IP地址转换的源IP地址的数量,比如设置为1,则公 网IP地址在会话表老化之前,只能针对一个源IP地址进行转换
保留IP地址 ---- 可以将不需要使用的公网IP地址放置在保留IP地址中,则在进行转换的时候, 不会使用该地址转换
动态nat
动态nat不会去识别服务类型,设计不到服务
主要会去产生servers-map表,有这个表就可以去转换对应的ip地址
为什么后面我改成http服务就ping不了了但是网上都是说不识别服务?
也是第一次这个流量根本没被抓住,也就压根没触发自己写的策略,所以压根不会做转换,先将这个用any ping一下,会出现一直service-map表。那个上面的只是抓流量的。有了service-map表后面在ping,这个策略依然不会命中
就是不勾端口允许转换
关于三元组的一个问题
想法和思路
Nat转换无非就是在绘画表找工写nat转换的内容,但是已经依靠service-map表重新创建会话了,压根就不需要再去匹配nat策略,不用去抓那个流量。但是老化时间到了,需要重新去触发nat策略,重新去创建表 。
目标NAT
服务器映射
双向NAT
如果pc端是基于目的的NAT到达防火墙,那么不会改变源ip地址,防火墙会改变目标ip地址,然后到达服务器时服务器就直接指向pc不会去防火墙,但是pc只认识防火墙,pc不会建邻,会直接丢包。
多出口NAT
源NAT
1,将不同的接口放置在不同的区域中,基于区域做NAT策略
2,将不同的接口放在同一个区域,基于接口做NAT策略
目标NAT
1,可以分区域配置两个服务器映射
2,也可以是同一个区域。注意,如果是同一个区域,不能将两条服务器映射策略同时
开启“允许服务器访问公网”
智能选路
就近选路 --- 根据访问的节点所在的运营商选择对应的运营商线路
策略路由
策略路由和路由策略
它不会影响路由表的生成,设备的路由表是已经存在而且稳定的。
和策略路由不同,路由策略是用来影响路由表最终生成的结果的,比如我可以用 route-map 匹配 ACL 之后修改 OSPF 网络中的 COST,这样一来对应的路由在插入路由表时 COST 列就会产生相应的变化。再比如可以匹配 ACL 一些源地址信息,然后修改下一跳的出口或 IP
路由策略一般与 BGP 结合使用的比较常见。
虚拟系统 --- VRF
如果没有配置监控,则匹配上策略路由的流量发现下一跳不可达,则将直接丢弃数据 包;如果可开启了检测,检测发现目标下一跳不可达,则将使该策略不生效,则直接不匹配流量,数据包将直接走路由表。
智能选路 --- 全局选路策略
1,基于链路带宽进行负载分担
如果一条链路超过了过载保护阈值,则该链路不再参加智能选路(如果已经创建了会话表的流量,则将依然走该链路。),将在剩下链路中继续进行智能选路。
基于源IP的会话保持 --- 来自同一个源IP或者同网段源IP的流量将始终使用同一个出接口 转发,适用于对链路切换敏感的场景
基于目的IP的会话保持 --- 访问同一个目标或者相同的目标网段,流量将始终使用同一 个出接口转发,适用于对链路切换敏感的场景
2,基于链路质量进行负载分担
1,丢包率 --- 防火墙会连续发送若干个(默认5个)探测报文,去计算丢包的比 例。(丢包个数/探测报文个数) --- 丢包率是最主要的链路质量参数
2,时延 --- 防火墙会连续发送若干个(默认5个)探测报文,取五次往返时间的平均值 作为时延参数。
3,延时抖动 --- 防火墙会连续发送若干个(默认5个)探测报文,取两两之间时延差值 的绝对值的平均值。
3,基于链路权重的负载分担
4,根据链路优先级的主备备份
优先级也是由网络管理员手工指定,如果没有配置过载保护,则优先级最高的先工作,当该链路故障,则次高的开始工作, 其余继续备份,以此类推;
如果配置了过载保护,则优先级最高的先工作,当超过保护阈值,则次高的开始工作,
其余继续备份,相当于此时两条链路同时工作,以此类推。
DNS透明代理
1801
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
