多核防火墻培訓(xùn)-ip路由

通過完成此章節(jié)課程，您將可以掌握DCFOS系統(tǒng)架構(gòu)配置運(yùn)行模式配置路由章標(biāo)議程：IP路由工作模式及系統(tǒng)架構(gòu)路由配置安全網(wǎng)關(guān)支持以下工作模式：路由應(yīng)用模式透明應(yīng)用模式混合應(yīng)用模式設(shè)備工作模式系統(tǒng)架構(gòu)圖安全域在DCFOS中，域是一個(gè)邏輯的實(shí)體，一個(gè)或多個(gè)接口可以綁定到域，而被應(yīng)用了策略規(guī)則的域即為安全域。接口綁定到域二層和三層域決定其接口工作在二層模式或者是三層模式DCFOS支持域策略規(guī)則，比如”從trust到trust的策略規(guī)則“接口接口允許流量進(jìn)出安全域。因此，為使流量能夠流入和流出某個(gè)安全域，必須將接口綁定到該安全域，并且如果是三層安全域，還需要為接口配置IP地址。然后，必須配置相應(yīng)的策略規(guī)則，允許流量在不同安全域中的接口之前傳輸。多個(gè)接口可以被綁定到一個(gè)安全域，但是一個(gè)接口總不能被綁定到多個(gè)安全域。接口類型邏輯接口類型描述BGroup接口BGroup將多個(gè)物理接口組織在一起。每一個(gè)BGroup構(gòu)成一個(gè)獨(dú)立的廣播域，數(shù)據(jù)包可以在BGroup中的接口之間根據(jù)MAC地址進(jìn)行快速轉(zhuǎn)發(fā)。BGroup接口為BGroup相對(duì)應(yīng)的接口，與外部代表BGroup進(jìn)行流量轉(zhuǎn)發(fā)。子接口子接口的名稱是它來源的接口名字的擴(kuò)展，例如ethernet0/2.1。DCFOS支持以下類型子接口：以太網(wǎng)子接口、集聚子接口、冗 接口和BGroup子接口。接口和它的子接口可以被綁定到同一個(gè)安全域中，也可以被綁定到不同的安全域中。VSwitch接口VSwitch接口是三層接口。它代表了VSwitch上所有接口的集合。VSwtich接口相當(dāng)于實(shí)際交換機(jī)的上連口，能夠?qū)崿F(xiàn)數(shù)據(jù)包在二層與三層之間的轉(zhuǎn)發(fā)。VLAN接口VLAN接口是三層接口。它代表了VLAN內(nèi)所有以太網(wǎng)接口的集合，只要有一個(gè)以太網(wǎng)接口處于UP狀態(tài)，該VLAN接口就處于UP狀態(tài)。VLAN接口是VLAN內(nèi)所有設(shè)備對(duì)外通信的出口，通常情況下，VLAN接口的IP地址為VLAN內(nèi)網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)地址。回環(huán)接口回環(huán)接口是邏輯接口，并且只要回環(huán)接口所在的 處于工作狀態(tài)，回環(huán)接口就一直處于工作狀態(tài)。因此，回環(huán)接口具有穩(wěn)定的特性。隧道接口隧道接口充當(dāng) 通道的 。流量通過隧道接口進(jìn)出 通道。隧道接口只能是三層接口。集聚接口集聚接口是物理接口的集合，一個(gè)集聚可以包含1到4個(gè)物理接口。這些物理接口平均分擔(dān)通過集聚接口流量。因此集聚接口可以提高單個(gè)IP地址的可用帶寬。如果集聚接口中的一個(gè)物理接口出現(xiàn)故障，不能工作，其它接口可以繼續(xù)處理流量，只是可使用的帶寬變小了。冗余接口冗余接口能夠?qū)崿F(xiàn)兩個(gè)物理接口的備份。一個(gè)物理接口為主接口處理流向該冗余接口的流量。另外一個(gè)接口作為備用接口在主接口發(fā)生故障時(shí)繼續(xù)處理流量。綁定關(guān)系接口、安全域、Vswitch和VRouter之間的關(guān)系接口綁定到安全域。綁定到二層安全域的接口為二層接口，綁定到三層安全域的接口為三層接口。安全域綁定到VSswitch或者VRouter。二層安全域綁定到VSwitch，三層安全域綁定到VRouter。由此，也實(shí)現(xiàn)了接口與VSwitch或者VRouter的綁定。策略策略則通過策略規(guī)則決定從一個(gè)安全域到另一個(gè)安全域的那些流量被允許，那些流量該被。域間策略：域間策略對(duì)安全域間的流量進(jìn)行控制?？赏ㄟ^設(shè)置域間策略來

、允許一個(gè)安全域到另一個(gè)安全域的流量。域內(nèi)策略：安全域內(nèi)策略對(duì)綁定到同一個(gè)安全域的接口間流量進(jìn)行控制。源地址和目的地址都在同一個(gè)安全域中，但是通過安全網(wǎng)關(guān)的不同接口到達(dá)。(vswitch)VSwitch一個(gè)VSwitch就是一個(gè)二層轉(zhuǎn)發(fā)域每個(gè)VSwitch都有自己獨(dú)立的MAC地址表VSwitch中的接口之間的數(shù)據(jù)包會(huì)被按照二層轉(zhuǎn)發(fā)規(guī)則進(jìn)行轉(zhuǎn)發(fā)。在VSwtich中，用戶可以方便地配置策略規(guī)則。VSwitch接口相當(dāng)于實(shí)際交換機(jī)的上連口，通過VSwitch接口，數(shù)據(jù)包可以實(shí)現(xiàn)二層與三層之間的轉(zhuǎn)發(fā)。L2

Zone

2L2InterfaceL2InterfaceL2InterfaceL2InterfaceL2

Zone1(vswitch)在一個(gè)VSwitch，即一個(gè)二層轉(zhuǎn)發(fā)域中，DCFOS安全網(wǎng)關(guān)通過源地址學(xué)習(xí)建立MAC地址轉(zhuǎn) 。每個(gè)VSwitch都有自己的MAC地址轉(zhuǎn) 。DCFOS根據(jù)數(shù)據(jù)包的類型（IP數(shù)據(jù)包ARP包和非IP且非ARP數(shù)據(jù)包），分別進(jìn)行不同的處理。對(duì)未知單播的轉(zhuǎn)發(fā)采用策略限制下的廣播對(duì)于非IP包且非ARP包，用戶可以在全局配置模式下通過配置l2-nonip-action

命令指定處理方式。l2-nonip-action{drop|forward}-drop–丟棄-forward-轉(zhuǎn)發(fā)透明模式為實(shí)現(xiàn)透明應(yīng)用模式，需要根據(jù)策略規(guī)則創(chuàng)建一些二層安全域，并且把接口綁定到二層安全域上，同時(shí)將二層安全域綁定到VSwitch。可以創(chuàng)建多個(gè)VSwitch，即多個(gè)二層轉(zhuǎn)發(fā)域。透明應(yīng)用模式有以下優(yōu)先：無需修改收保護(hù)網(wǎng)絡(luò)的IP設(shè)置。無需為進(jìn)入受保護(hù)網(wǎng)絡(luò)的報(bào)文創(chuàng)建NAT規(guī)則IntranetServerInternetPCL2

Untrust

ZoneServerPCPCL2

Trust

Zone路由模式接口配置在三層安全域上配置接口IP地址、基于安全域的策略規(guī)則在這種情況下，設(shè)備具有路由功能通常需要配置NAT規(guī)則地址轉(zhuǎn)換功能ServerPCTrust

ZoneIntranet

10.100.1.0/24ServerPCPCUntrust

ZoneInternet202.10.1.0/2410.100.1.154202.10.1.2混合模式部分接口綁定在二層安全域上，部分接口綁定到三層安全域上給VSwitch接口和三層接口均配置IP地址ServerPCL2

Trust

Zone1IntranetServerPCL2

Trust

Zone2IntranetPCUntrust

ZonePC

ServerInternet

202.100.1.0202.100.1.1/24VSwitchIF1:

10.10.1.1/24接口配置（二層模式）WebUI方式：網(wǎng)絡(luò)>接口CLI方式：DCFW-1800(config)#

int

ethernet0/2DCFW-1800(config-if-eth0/2)#

zone

l2-trust選擇二層安全域，接口會(huì)自動(dòng)綁定相應(yīng)的vswitch接口配置（三層模式）WebUI方式：網(wǎng)絡(luò)>接口CLI方式：接口配置（高級(jí)配置）WebUI方式：網(wǎng)絡(luò)>接口議程：IP路由工作模式及系統(tǒng)構(gòu)架路由配置路由配置靜態(tài)路由（目的路由）源路由(SBR，SIBR)策略路由（policy-based

Routing）VRouter自己的VRouter的功能與路由器相同，路由表DCFOS可以支持多個(gè)VRouter，默認(rèn)VR為trust-vr路由配置需要在VRouter配置模式下目的路由靜態(tài)路是手工定義的路由條目，根據(jù)目的地址指定下一跳，也稱作目的路由對(duì)外連接較少或者內(nèi)網(wǎng)連接相對(duì)比較穩(wěn)定的網(wǎng)絡(luò)通常使用靜態(tài)路由默認(rèn)路由是靜態(tài)路由的一種通過WebUI配置靜態(tài)路由，如下圖：網(wǎng)絡(luò)>路由>目的路由只有下一跳是Tunnel、Null、PPPOE時(shí)，才指定“接口”方式的路由配置目的路由（CLI）在全局配置模式下使用以下命令：ip

vrouter

trust-vr

進(jìn)入到VRouter配置模式下在VRouter配置模式下使用以下命令：ip

route

{A.B.C.D/M|A.B.C.D

A.B.C.D}{A.B.C.D

interface-name}[distance-value][weightweight-value]-A.B.C.D/M|A.B.C.D

A.B.C.D-指定目的地址-A.B.C.D

|interface-name–指定下一跳網(wǎng)關(guān)地址（A.B.C.D）或者接口(interface-name)接口僅限隧道接口，Null0接口或者PPPOE接口等點(diǎn)對(duì)點(diǎn)類型的接口-distance-value–指定路由的管理距離大小取值越小，優(yōu)先級(jí)越高-weight

weight-value -指定路由權(quán)值的大小。決定負(fù)載均衡中流量轉(zhuǎn)發(fā)的

。ISP路由內(nèi)置中國(guó)電信（）ISP路由表配置ISP路由表）和中通（-ip

route

isp-name

{A.B.C.D|interface-name}

[distance-value][weight

weight-value]isp-name–指定系統(tǒng)中已村在的ISP名稱作為路由的目的地址A.B.C.D|interface-name–指定下一跳。源路由和策略路由源路由（SBR）：根據(jù)數(shù)據(jù)包的源IP地址，選擇路由，進(jìn)行轉(zhuǎn)發(fā)源接口路由（SIBR）：根據(jù)數(shù)據(jù)包的源IP地址和入接口，選擇路由進(jìn)行轉(zhuǎn)發(fā)策略路由（PBR）：檢查數(shù)據(jù)包的源IP、目的IP和服務(wù)類型對(duì)匹配策略的數(shù)據(jù)包的下一跳進(jìn)行指定。路由選路順序：策略路由->源接口路由->源路由->目的路由動(dòng)態(tài)路由動(dòng)態(tài)路由是根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行