01-防火墙智能选路

在网络出口经常会部署多条出口链路，以增加出口的带宽和可靠性。如果不能够将流量合理的分配到链路上，可能会导致网络出现拥塞，访问速度变慢，链路资源得不到充分利用以及跨运营商访问等问题。

当FW作为网络出口设备拥有多条出口链路时，智能选路功能可以根据管理员设置的带宽、权重和优先级自动探测链路质量并动态地选择出接口，保证链路资源得到充分利用，提升用户的上网体验。

1.智能选路应用场景

多出口选路存在的问题

智能选路解决的问题

智能选路功能组件

• 智能选路的选路功能根据不同的需求，可以实现基于全局选路策略的选路，基于策略路由的选路和基于ISP路由的选路。

• 智能选路的探测功能可以对服务可用性、链路可用性或链路时延进行探测，并根据探测结果调整业务流量的分配，为网络服务质量提供必要保障。

2.智能选路原理描述

全局选路策略– 负载分担方式

根据链路带宽负载分担

一般来说，管理员需要根据实际链路带宽设置合理的带宽值。FW按照带宽比例将流量分配到各条链路上，所以带宽大的链路转发较多的流量，带宽小的链路转发较少的流量，所有链路都会被充分利用，不会有链路闲置的情况。

为了保证链路不会过载，管理员设置了过载保护阈值，各链路均为90%。当某条链路的带宽使用率达到90%时，已建立会话的流量仍从该链路转发，但是后续新建立会话的流量不再通过此链路转发，FW会在未过载的链路中智能选路，后续流量按照未过载链路之间的带宽比例进行负载分担。如果所有链路都已过载，那么FW将继续按照各链路的带宽比例分配流量。

根据链路质量负载分担

FW自动向目的IP发送链路质量探测报文，将链路质量探测结果保存在链路质量探测表中。当有流量到达FW时，FW首先根据报文的目的IP去匹配探测表，如果匹配则根据探测表中记录的出接口转发流量；如果未匹配，则自动向目的IP发起质量探测选择最优的链路转发流量，并将探测结果记录在链路质量探测表中，当质量探测表项老化后，新的流量触发智能选路时需要重新进行链路质量探测

链路质量参数	计算方法
丢包率(最重要的参数）	FW发送若干个探测报文后，将统计丢包的个数，并计算丢包率。丢包率等于丢包个数除以探测报文个数。
时延	回应报文的接收时间减去探测报文的发送时间即为时延。FW发送N个探测报文后，将分别计算每次探测的时延，并取N次探测的平均值作为最终结果。
时延抖动	相邻两次探测的时延之差取绝对值即为时延抖动。FW发送N个探测报文后，将分别计算相邻两次探测的时延之差并取绝对值，然后取所有时延抖动的平均值作为最终结果。

缺省情况下，链路质量探测报文的协议类型为tcp-simple（FW使用TCP报文检查网络的连通性，只要目的设备回应第一个探测报文，即认为链路是可用的，无需完成三次握手）。此时，FW针对TCP业务流量使用tcp-simple协议进行质量探测，针对非TCP业务流量使用ICMP协议进行质量探测。探测报文的协议类型还可以修改为ICMP，此时FW针对所有业务流量都使用ICMP协议探测进行质量探测。

FW将对单个IP的质量探测结果当做该IP所在网段的质量探测结果，管理员可以根据实际需要扩大或缩小网段的范围。

根据链路权重负载分担

为了保证链路不会过载，管理员设置了过载保护阈值，各链路均为90%。当某条链路的带宽使用率达到90%时，此链路将不再被分配流量，FW会在未过载的链路中智能选路，后续流量按照未过载链路之间的权重比例进行负载分担。如果所有链路都已过载，那么FW将继续按照各链路的权重比例分配流量。

根据链路优先级主备备份

• 该智能选路方式分为两种场景：

  • 主备备份场景：FW优先使用主接口转发流量。如果没有为主接口链路指定过载保护阈值，那么即使链路过载，FW也不会使用其他链路传输流量。只有当主接口链路发生故障后，优先级次高的备份接口才被启用以替代主接口，而其他优先级更低的备份接口则仍未启用。

  • 负载分担场景：为了提高传输的可靠性和负载能力，可以为各接口链路设置过载保护阈值。当主接口链路过载时，FW会使用优先级次高的备份接口和主接口一起分担流量。当主接口和优先级次高的备份接口都过载后，余下的备份接口中优先级最高的接口才被启用进行流量分担。

会话保持

上网用户流量进行首次智能选路选择某链路后，FW会生成相应的会话保持表项，新流量如果命中了该会话保持表项，FW按照会话保持表项中记录的链路转发流量，这样能保证该用户的流量始终使用同一链路转发。

以基于源IP的会话保持模式为例介绍会话保持的原理，如图所示，用户A的上网流量进行首次智能选路后，会生成一个会话保持表项，其中包含了源IP地址、匹配的智能选路策略ID和首次选路的出接口。当该用户再次发起连接时，FW会根据新流量中的源IP和匹配的智能选路策略ID查找相应的会话保持表项，并直接使用会话保持表项中记录的出接口转发该流量，这样就保证了此用户的流量始终使用同一出接口转发。

display session persistence table 
		#查看会话保持表项

策略路由

• 通过策略路由，可以实现下述功能，用户可以根据需要进行选配。

  • 基于用户的选路：指定用户/用户组只能通过指定的链路访问互联网。例如，用员工组A权限高，享受快速网络，可以通过链路ISP1访问互联网，员工组B权限低，通过链路ISP2访问互联网。

  • 基于应用、协议类型的选路。例如，配置语音与视频等应用走带宽高线路，数据应用走带宽小的线路。

策略路由组成

策略路由规则匹配过程

1.防火墙基本配置

firewall zone trust 
 add int g1/0/1
 q
firewall zone name isp_1
 set priority 11
 add interface GigabitEthernet1/0/2
 q
firewall zone name isp_2
 set priority 12
 add interface GigabitEthernet1/0/3
 q

int g1/0/1
	ip add 10.1.12.2 24
int g1/0/2
	ip add 202.100.1.1 30
int g1/0/3
	ip add 203.100.1.1 30
int g0/0/0
	ip add 192.168.10.5 24

2.给防火墙指定去外网的默认路由

FW:
ip route-static 0.0.0.0 0 202.100.1.2
ip route-static 0.0.0.0 0 203.100.1.2

3.防火墙内网部分跑OSPF

FW：
ospf 1 router-id 2.2.2.2
 area 0 
	network 10.1.12.2 0.0.0.0

注：firewall l2-multicast packet-filter enable 
		默认情况下，安全策略仅对单播报文进行控制，对广播和组播报文不做控制，直接转发。
		通过以上命令可以配置二层组播报文受安全策略控制

ospf 1
	default-route-advertise always
		#防火墙给AR1下发默认路由

R1：
ospf 1 router-id 1.1.1.1
  area 0
	network 10.1.12.1 0.0.0.0
	network 172.16.1.254 0.0.0.0
	network 172.16.2.254 0.0.0.0

4.防火墙做NAT和防火墙做安全策略，让内网从isp_1走

FW：
nat address-group isp_1 0
 mode pat
 route enable
	#启动NAT路由
 section 0 102.1.1.1 102.1.1.1

#NAT策略配置
nat-policy
 rule name trust_isp_1
  source-zone trust
  destination-zone isp_1
  source-address 172.16.1.0 mask 255.255.255.0
  source-address 172.16.2.0 mask 255.255.255.0
  action source-nat address-group isp_1

#安全策略
security-policy
 rule name trust_isp_1
  source-zone trust
  destination-zone isp_1
  source-address 172.16.1.1 mask 255.255.255.255
  source-address 172.16.2.2 mask 255.255.255.255
  service http
  service icmp
  action permit

5.防火墙做NAT和防火墙做安全策略，让内网从isp_2走

FW：

nat address-group isp_2 0
 mode pat
 route enable
	#启动NAT路由
 section 0 103.1.1.1 103.1.1.1

#NAT策略配置
nat-policy
 rule name trust_isp_2
  source-zone trust
  destination-zone isp_2
  source-address 172.16.1.0 mask 255.255.255.0
  source-address 172.16.2.0 mask 255.255.255.0
  action source-nat address-group isp_2

#安全策略
security-policy
 rule name trust_isp_2
  source-zone trust
  destination-zone isp_2
  source-address 172.16.1.1 mask 255.255.255.255
  source-address 172.16.2.2 mask 255.255.255.255
  service http
  service icmp
  action permit

6.外网使用静态路由

R2
ip route-static 102.1.1.1 32 202.100.1.1
      #到防火墙的路由，102.1.1.1 是地址池的地址
ip route-static 180.100.1.0 24 204.100.1.4

R3

ip route-static 103.1.1.1 32 203.100.1.1
ip route-static 180.100.1.0 24 205.100.1.4

R4
ip route-static 102.1.1.1 32 204.100.1.3

ip route-static 103.1.1.1 32 2055.100.1.3 

7.策略路由

1.client_1 访问Server走isp_1链路，如果ISP_1链路故障，切至isp_2转发

2.client_2 访问Server走isp_2链路，如果ISP_2链路故障，切至isp_1转发

#去isp_1的策略路由，源地址为172.16.1.0网段的下一跳为202.100.1.2
policy-based-route
 rule name To_isp_1
  source-zone trust
  source-address 172.16.1.0 mask 255.255.255.0
  service http
  service icmp
  action pbr next-hop 202.100.1.2

 rule name To_isp_2
   source-zone trust
   source-address 172.16.2.0 mask 255.255.255.0
   service http
   service icmp
   action pbr next-hop 203.100.1.2

8.运营商的链路故障，如：R2的上行接口故障

配置IP-Link:

将IP-Link监控链路的目的IP地址与策略路由中的报文的下一跳、缺省下一跳设置为一致，并可将策略路由与IP-Link关联，由IP-Link监视报文的下一跳和缺省下一跳所在链路的可达性，通过IP-Link的状态来动态地决定策略路由的可用性：

- IP-Link状态为Up时，链路可达，策略路由有效，可以指导转发。 

- IP-Link状态为Down时，链路不可达，策略路由失效，设备直接按照路由表来指导报文转发

ip-link name isp_1_test
 source-ip 202.100.1.1
 destination 204.100.1.4 mode icmp

policy-based-route
 rule name To_isp_1
   track ip-link isp_1_test
		#ip-link与策略路由关联
#由于匹配到了，策略路由失效，会使用默认路由，所以默认路由也要和ip-link关联
ip route-static 0.0.0.0 0.0.0.0 202.100.1.2 track ip-link isp_1_test

fw和R4之间互通：
 FW：ip route-static 204.100.1.0 255.255.255.0 202.100.1.2
 R4：ip route-static 202.100.1.0 255.255.255.0 204.100.1.3

ip-link name isp_2_test
 source-ip 203.100.1.1
 destination 205.100.1.4 mode icmp

policy-based-route
 rule name To_isp_2
   track ip-link isp_2_test
		#ip-link与策略路由关联
#由于匹配到了，策略路由失效，会使用默认路由，所以默认路由也要和ip-link关联
ip route-static 0.0.0.0 0.0.0.0 203.100.1.2 track ip-link isp_2_test

fw和R4之间互通：
 FW：ip route-static 204.100.1.0 255.255.255.0 202.100.1.2
 R4：ip route-static 202.100.1.0 255.255.255.0 204.100.1.3

fw和R4之间互通：
 FW：ip route-static 205.100.1.0 255.255.255.0 203.100.1.2
 R4：ip route-static 203.100.1.0 255.255.255.0 205.100.1.3

注：策略路由无法使用多通道的协议（如FTP），要使用路由表

ISP路由

多ISP选路存在的问题

ISP选路实现原理

配置ISP选路功能前，管理员需要把每个ISP网络内的IP地址分别写入不同的csv文件（该文件称为ISP地址文件），然后将文件导入FW。

指定出接口与某个运营商名称关联后，FW会批量生成到此运营商网络的ISP路由：目的地址是ISP地址文件中的IP地址，下一跳是出接口上配置的网关地址。ISP路由也称为运营商路由，在路由表中显示的协议类型为UNR（user network route），路由优先级为70。

• FW出厂时已经预置下列运营商的ISP地址文件：china-mobile.csv：中国移动、china-unicom.csv：中国联通、china-telecom.csv：中国电信、china-educationnet.csv：中国教育网，注意事项：

  • ISP地址文件必须为csv格式。

  • FW预置的ISP地址文件可以直接使用，但不能确保该ISP地址文件中的IP地址信息完全准确，应用时请根据现网实际情况进行相应调整。

• 预置和导入的ISP地址文件固定存放在根目录下名称为isp的文件夹内。导入ISP地址文件后，管理员需要为每个文件创建一个名称，一般是以该ISP代表的运营商名称命名。成功导入文件后，每个ISP地址文件会自动生成一个ISP地址集（也称为运营商地址集），其中包含了ISP地址文件中的所有IP地址，该地址集可以被策略路由引用作为源地址或目的地址。

• 为了提高流量转发的可靠性，ISP选路功能可以配合健康检查功能一起使用，保证流量不被转发到故障链路上。当健康检查的结果显示链路故障时，对应的ISP路由表项将被删除，所以流量不会命中该条路由，也就避免被转发到故障链路上。当链路状态恢复正常时，对应的ISP路由表项将重新生成，流量即可按此路由进行转发。

健康检查

健康检查实现原理

防火墙可以根据不同类型的目的设备发送相应协议的探测报文，通过分析应答报文即可判断链路的可用性。

探测协议	探测原理
DNS	使用DNS协议向指定设备发起请求，如果应答报文中的标识字段与请求报文一致，即认为该链路可用。
HTTP	完成TCP三次握手后，使用HTTP协议向指定设备发送获取指定目的根目录的请求，收到HTTP应答报文即认为该链路可用，随后防火墙会发送RST报文中止此TCP连接。
ICMP	向指定设备发送ICMP请求报文，如果ICMP应答报文中的标识符和序列号字段与请求报文的一致，即认为该段链路可用。
RADIUS	使用RADIUS协议向指定服务器发起认证请求，用户名为“guestguest”，密码为空，如果应答报文中的标识符与发送报文一致，即认为该服务可用。
TCP	使用TCP协议向指定设备发送TCP连接请求，如果连接建立成功，即认为该链路可用，随后防火墙会发送RST报文中止此TCP连接。
TCP（简单探测）	使用TCP报文检查网络的连通性。只要目的设备回应第一个探测报文，即认为链路是可用的，无需完成三次握手。

智能选路故障排除

排障流程

display policy-based-route rule { all [ slot slot-id cpu cpu-id ] | name rule-name }
	#查看策略路由的配置和生效情况：

display policy-based-route app-cache { all | { tcp | udp } ip-address node-id } [ slot slot-id cpu cpu-id ]
	#用来查看策略路由规则的配置和匹配情况：
dp } ip-address node-id } [ slot slot-id cpu cpu-id ]
	#用来查看策略路由规则的配置和匹配情况：