流量疏導(dǎo)及防火墻配制

1、流量疏導(dǎo)及防火墻配置問題原由加強與移動公司協(xié)同，充分利用移動資源為本網(wǎng)服務(wù)，實現(xiàn)彼此間的資源共享；提升網(wǎng)絡(luò)質(zhì)量，降低分公司的出網(wǎng)結(jié)算費用。重點討論接入方法、流量疏導(dǎo)方式、及防火墻nat配置等。教學(xué)重點要求掌握：nat配置方法。熟悉：故障判斷及處理方法。目錄 1 與移動網(wǎng)絡(luò)互聯(lián)實現(xiàn)方式 4 故障處理 2 流量疏導(dǎo)方法 3 防火墻NAT配置知識結(jié)構(gòu)配置接口地址及路由流量疏導(dǎo)及防火墻配置與移動網(wǎng)絡(luò)互聯(lián)實現(xiàn)方式防火nat配置流量疏導(dǎo)方法光纖FE口接入光纖GE口接入策略路由方式靜態(tài)路由方式（含默認(rèn)路由）故障處理單個地址資源故障互聯(lián)出口或防火墻故障1 與移動網(wǎng)絡(luò)互聯(lián)實現(xiàn)方式 1.1、資源準(zhǔn)備 具備光纜資源

2、、光纖收發(fā)器、防火墻設(shè)備、城域網(wǎng)具備相關(guān)接入資源。 1.2、城域網(wǎng)核心與防火墻互聯(lián) 提前將防火墻與城域網(wǎng)核心路由器互聯(lián)，可采用靜態(tài)路由方式或動態(tài)路由方式，根據(jù)自身情況作出選擇。 1.3、防火墻與移動城域網(wǎng)互聯(lián) 分公司與移動溝通，調(diào)試光路；要求移動公司提供互聯(lián)接口地址（最好是一段地址）；測試地址能否聯(lián)通互聯(lián)網(wǎng)；根據(jù)要求選擇GE方式還是FE方式（建議選擇GE方式）。1 與移動網(wǎng)絡(luò)互聯(lián)實現(xiàn)方式 1.4、接入示意圖防火墻BASBASBAS城域網(wǎng)核心省網(wǎng)核心本地網(wǎng)點2本地網(wǎng)點3移動城域網(wǎng)網(wǎng)本地網(wǎng)點1核心路由器192.168.2.1/29192.168.3.1/301 與移動網(wǎng)絡(luò)互聯(lián)實現(xiàn)方式 1.5、設(shè)備

3、互聯(lián)配置腳本（動態(tài)路由） 核心路由器： interface GigabitEthernet1/0/3 /與防火墻互聯(lián)接口 description To_ED500 undo shutdown ip address 192.168.3.2 255.255.255.252 # ospf 1 import-route static area 0.0.0.0 network 192.168.1.2 0.0.0.0 /核心路由器id network 192.168.3.0 0.0.0.3 # 防火墻： interface GigabitEthernet1/0/0 /與路由器互聯(lián)接口 descriptio

4、n To_NE40A_1-0-3 ip address 192.168.3.1 255.255.255.252 # ospf 1 area 0.0.0.0 network 192.168.1.3 0.0.0.0 /防火墻id network 192.168.3.0 0.0.0.3 #1 與移動網(wǎng)絡(luò)互聯(lián)實現(xiàn)方式interface GigabitEthernet2/0/0 /與移動互聯(lián)接口 description To_mobile ip address 192.168.2.2 255.255.255.248# ip route-static 0.0.0.0 0.0.0.0 192.168.2.1

5、 /默認(rèn)路由2流量疏導(dǎo)方法 根據(jù)需要，可以按目的地址方式和按源地址方式疏導(dǎo)。 2.1、靜態(tài)路由方式 靜態(tài)路由實現(xiàn)簡單，只需一條命令即可。但只能疏導(dǎo)目的地址資源。 2.2、策略路由方式 策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。策略路由的實現(xiàn)相對復(fù)雜一些，應(yīng)用策略路由，必須要指定策略路由使用的路由圖，并且要創(chuàng)建路由圖。一個路由圖由很多條策略組成，每個策略都定義了1 個或多個的匹配規(guī)則和對應(yīng)操作。一個接口應(yīng)用策略路由后，將對該接口接收到的所有包進行檢查，不符合路由圖任何策略的數(shù)據(jù)包將按照通常的路由轉(zhuǎn)發(fā)進行處理，符合路由圖中某個策略的數(shù)據(jù)包就按照該策略中定義的操作進行處理。

6、2流量疏導(dǎo)方法 2.3、兩種實現(xiàn)方式的優(yōu)缺點 靜態(tài)路由實現(xiàn)簡單，但只能疏導(dǎo)目的地址資源。隨著目的地址資源的增多，一旦發(fā)生故障路由器中的靜態(tài)路由信息需要大量地調(diào)整，這一工作量非常大。 策略路由大體上分為兩種：一種是根據(jù)路由的目的地址來進行的策略稱為：目的地址路由；另一種是根據(jù)路由源地址來進行策略實施的稱為：源地址路由！所以，策略路由可以根據(jù)需要靈活采用，實現(xiàn)不同的功能。策略路由數(shù)據(jù)制作相對靜態(tài)路由要復(fù)雜的多，但是鏈路一旦故障，可以通過策略快速進行調(diào)整。 2流量疏導(dǎo)方法 2.4、兩種實現(xiàn)方式腳本 以搜狐網(wǎng)為例，nslookup 看到搜狐服務(wù)器主頁地址為221.179.180.4, 221.179.

7、180.2。 靜態(tài)路由實現(xiàn)腳本： ip route-static 221.179.180.4 32 192.168.3.1 ip route-static 221.179.180.2 32 192.168.3.1或合并ip route-static 221.179.180.2 24 192.168.3.1 策略路由實現(xiàn)腳本： acl number 15012 rule ip destination 221.179.180.2 0.0.0.0 # acl number 15013 rule ip destination 218.179.180.4 0.0.0.0 # 2流量疏導(dǎo)方法 traffi

8、c classifier sq15012 if-match acl 15012 traffic classifier sq15013 if-match acl 15013 # traffic behavior to_mobile redirect ip-nexthop 192.168.3.1 GigabitEthernet1/0/3 # traffic policy sq_mobile classifier sq15011 behavior to_mobile precedence 32 classifier sq15012 behavior to_mobile precedence 35 #

9、2流量疏導(dǎo)方法 interface GigabitEthernet1/0/0 /在入方向綁定策略 description To_5200G traffic-policy sq_mobile inbound # commit traffic policy /使接口策略生效 interface GigabitEthernet 1/0/0 /刪除策略 undo traffic-policy inbound q display qos policy sq_mobile inbound /查看策略是否生效 策略生效后，5200G下用戶訪問搜狐主頁流量即從本地移動走。3防火墻nat配置3.1地址轉(zhuǎn)換示意圖

10、 當(dāng)內(nèi)部PC（192.168.1.3）向外部服務(wù)器（202.120.10.2）發(fā)送一個數(shù)據(jù)報1時，數(shù)據(jù)報將通過NAT服務(wù)器。NAT進程查看報頭內(nèi)容，發(fā)現(xiàn)該數(shù)據(jù)報是發(fā)往外部網(wǎng)絡(luò)的。那么它將數(shù)據(jù)報1的源地址字段的私有地址192.168.1.3換成一個可在Internet上選路的公有地址202.169.10.1，并將該數(shù)據(jù)報發(fā)送到外部服務(wù)器，同時在網(wǎng)絡(luò)地址轉(zhuǎn)換表中記錄這一映射。外部服務(wù)器給內(nèi)部PC發(fā)送應(yīng)答報文2（其初始目的地址為202.169.10.1），到達NAT服務(wù)器后，NAT進程再次查看報頭內(nèi)容，然后查找當(dāng)前網(wǎng)絡(luò)地址轉(zhuǎn)換表的記錄，用原來的內(nèi)部PC的私有地址192.168.1.3替換目的地址。

11、3防火墻nat配置3.2配置步驟 3.2.1 ACL的配置 acl number 2000 rule 5 permit /允許所有地址通過 也可添加具體地址 # 3.2.2 地址池部分的配置 配置起始IP地址為192.168.2.2，結(jié)束IP地址為192.168.2.6，編號為0的地址池。 nat address-group 0 192.168.2.2 192.168.2.6 # 3.2.3 配置NAT Outbound模式下ACL和地址池關(guān)聯(lián) firewall zone trust set priority 85 add interface GigabitEthernet1/0/0 # fi

12、rewall zone untrust set priority 5 add interface GigabitEthernet2/0/0 # firewall interzone trust untrust nat outbound 2000 address-group 1 # 所有經(jīng)過NAT網(wǎng)關(guān)的報文的源地址都會被指定的地址池中的一個IP所替代。 4故障處理4.1、鏈路故障造成互聯(lián)出口中斷 采用靜態(tài)路由方式疏導(dǎo)的需將所有靜態(tài)路由刪除。 采用策略路由方式疏導(dǎo)的只需將策略從接口下刪除即可，可快速將流量撤回本網(wǎng)。4.2、單個地址資源路由故障 采用靜態(tài)路由方式疏導(dǎo)的將故障地址靜態(tài)路由刪除； display ip route-table XX.XX.XX.XX 采用策略路由方式疏導(dǎo)的，刪除單個地址比較麻煩，需先策略