防火牆的靜態路由
常見路由協議概述
靜態路由,靜態路由多出口
動態路由
按作用範圍分爲
1) IGP路由:RIP、OSPF、ISIS
2) EGP路由:BGP
按使用算法分爲
3) 鏈路狀態協議:OSPF、ISIS
4) 距離矢量協議:RIP、BGP
策略路由、ISP選路
路由協議優先級
當存在多個路由信息源時,具有最高優先級的路由協議發現的路由將成爲當前路由
默認在華爲中,動態優先級優於靜態
靜態路由基本概念
配置靜態路由可以在路由選擇中實施非常精確的控制,但是當網絡發生變化或故障時需要管理員重新進行手工配置
語法: ip route-static 目標地址 掩碼 下一跳地址
出接口
出接口+下一跳(推薦) 靜態路由可以指定出接口或指定下一跳地址
指定出接口場景
1) PPP接口
2) PPPoE接口
指定下一跳地址場景
1) NBMA接口
2) 以太網接口
3) Virtual-template
靜態路由與多出口
多出口指的是USG通過多個接口連接到Internet或其他網絡,多個接口之間形成主備備份或負載分擔關係,從而提高了業務的可靠性
多出口功能生效的前提條件是USG上存在多條等價路由
多出口支持的模式有
主備模式
負載分擔模式
1) 均衡式負載分擔(缺省模式)
2) 溢出式負載分擔
主備模式
在主備備份方式下,最多支持爲主接口指定3個從接口,但是同一時間只有一個接口傳輸流量,具體工作流程如下
1) 爲主接口指定從接口,並設定從接口的優先級。從接口會被設備自動置於Down狀態
2) 主接口正常工作時,所有流量都通過主接口傳輸。即使流量超負荷,從接口也不傳輸流量
3) 當主接口故障時,設備會自動啓動一個優先級最高、狀態可用的從接口承擔主接口的所有流量。如果從接口也發生故障,設備會啓動另一個可用的次高優先級的從接口以此類推
4) 當原先故障的主接口恢復正常時流量會重新切換到主接口。從接口重新處於Down狀態
主備備份方式的多出口只能檢測出直連鏈路的故障,當主接口上行非直連鏈路故障時無法檢測,設備不會進行主備接口切換
負載分擔模式
在防火牆上面指定到達intetnet的兩條路由同時轉發數據流量 也就是兩條鏈路東西工作
逐流與逐包報文分擔方式
逐流轉發(缺省情況下逐流轉發)
1) 逐流轉發以流爲單位,同一條數據流的報文從同一個接口轉發,不同的數據流根據一定的算法選擇接口 逐流轉發能保證包順序,但不能保證帶寬利用率
逐包轉發
1) 逐包轉發以報文爲單位,輪詢選擇接口。同一條數據流的報文不一定從同一個接口轉發。逐包轉發能保證帶寬利用率,但不能保證包的順序
2) 逐包轉發可能會導致報文來回路徑不一致,這會對依賴於狀態檢測的特性或者場景的正常使用有影響(比如NAT)。 當需要保證報文來回路徑一致的情況下請不要選擇逐包負載分擔方式
均衡式負載分擔
在均衡式負載分擔方式下,所有接口同時承擔流量。USG最多支持8個接口進行負載分擔
均衡式負載分擔的流量分擔方法有兩種
1) 按百分比負載分擔:也稱爲按權重負載分擔,接口上設置的負載分擔百分比越大,該接口承擔的流量就越大
2) 按分擔方式負載分擔:按照選擇的Hash方式進行負載分擔,可以選擇源IP地址、源端口、目的IP地址和目的端口四個元素中的一個或者多個進行Hash值計算。然後根據這個值選擇一個接口傳輸流量
配置舉例
溢出式負載分擔
溢出式負載分擔是結合主備方式
在溢出式負載分擔方式下,最多支持爲主接口指定3個從接口,具體工作流程如下
1) 爲主接口指定從接口,並設定從接口的優先級
2) 當主接口流量超出預先設定的上限閾值時,設備會自動啓動一個優先級最高、狀態可用的從接口與主接口一起進行負載分擔
3) 如果主接口的流量再次超出上限閾值,設備會啓動另一個可用的次高優先級的從接口,在這三個接口間進行負載分擔。以此類推
4) 如果所有從接口都被啓用了,主接口流量即使超出上限閾值也只能在所有主從接口間負載分擔
5) 當主接口流量小於設定的下限閾值時,設備關閉一個優先級最低的從接口。以此類推,直到僅剩主接口承擔流量
配置舉例
