HECI-Securtiy 防火墙路由技术

目录

一、防火墙路由基本原理

1.路由分类

2.路由优先级

3.路由查询先后顺序

4.静态路由基本原理

(1)指定出接口场景

(2)指定下一跳地址场景

5.静态路由与多出口

(1)主备备份

(2)均衡式负载分担

(3)溢出式负载分担

二、逐流与逐包报文分担方式

三、OSPF链路状态路由协议

1.基本原理

2.OSPF的优点

3.网络类型

4.各网络类型拓扑

5.OSPF认证

(1)两种验证方式

(2)支持的验证模式按加密算法不同分为

四、BGP路由协议

1.介绍

2.特点

3.自治系统(Autonomous System)

4.BGP的运行方式

5.BGP的报文类型

6.BGP状态机

7.BGP通告原则

8.BGP路径属性

9常见BGP路由属性

五、策略路由

1.原理

2.策略路由支持的匹配过程

(1)匹配条件

(2)匹配后的动作

3.智能选路基本原理

4.ISP选路基本原理

五、命令配置

1.配置多出口:主备模式

2.配置多出口:均衡负载分担

3.配置多出口:溢出式负载分担

4.配置OSPF基本功能

(1)配置route id

(2)配置区域及宣告网络

(3)配置接口类型及开销

(4)通告默认路由,强制通告默认路由

(5)配置安全策略

5.配置OSPF高级功能

(2)配置ABR汇总

(3)配置ASBR汇总

(4)配置认证

6.配置BGP基本功能

(1)配置IBGP对等体

(2)配置EBGP对待体,配置认证

(3)宣告路由引入路由

7.配置BGP高级功能

(1)配置BGP反射器

(2)配置BGP路由过滤

(3)配置BGP属性

8.配置策略路由

(2)配置策略路由

9.配置ISP选路


一、防火墙路由基本原理

1.路由分类

(1)策略路由、智能选路

(2)静态路由、静态路由多出口

(3)动态路由

按作用范围分

IGP路由:RIP,OSPF,ISIS

EGP路由:BGP

按使用算法分

链路状态协议:OSPF,ISIS

距离矢量协议:RIP,BGP

2.路由优先级

协议

优先级

DIRECT

0

OSPF

10

IS-IS

15

STATIC

60

RIP

100

OSPF ASE

150

OSPF NSSA

150

IBGP

255

EBGP

255

UNKNOWN

255

3.路由查询先后顺序

NGFW进行流量转发时,查询路由的先后顺序是策略路由、明细路由、缺省路由。其中,明细路由是子常用的,包括动态动态路由和静态路由

4.静态路由基本原理

配置静态路由可以在路由选择中国实施非常精确的控制,但是当网络发生变化或者故障时需要手工配置

静态路由可以指定出接口或指定下一跳地址

(1)指定出接口场景

PPP,PPPoE

(2)指定下一跳地址场景

NBMA接口,以太网接口,Virtual-template

5.静态路由与多出口

多出口指的是USG通过多个接口连接到internat或其他网络,多个接口之间形成主备备份或负载分担关系,从而提高了业务可靠性

多出口功能生效的前提是USG上存在多条等价路由

多出口支持的模式:主备模式、负载分担模式:均衡式(缺省模式)、溢出式

(1)主备备份

在主备备份方式下,主接口正常工作时,所有流量都通过主接口传输。只有当主接口故障时,流量才暂时由从接口传输以避免业务中断。一旦主接口恢复正常,设备就将流量重新交由主接口传输。

USG放在智能选路中来实现

(2)均衡式负载分担

在均衡式负载分担方式下,所有接口同时承担流量,USG最多支持8个接口进行负载分担

按百分比负载

按分担方式负载

(3)溢出式负载分担

在溢出式负载分担方式下,正常情况下主接口传输流量,只有当主接口流量超过一定阈值时,才启用从接口共同承担流量。

USG已经不支持,AR路由器仍支持

二、逐流与逐包报文分担方式

根据同一条数据流的多个报文是否由同一个接口转发,负载分担的报文分担方式又分为逐流转发与逐包转发两种

逐包转发可能会导致报文来回路径不一致,这回对依赖于状态检测的特性或者场景的正常使用有影响(比如NAT)

当需要保证报文来回路径一致的情况下请不要选择逐包负载分担方式

负载分担方式

报文分担方式

均衡式负载分担(按百分比)

逐包转发和逐流转发都支持,缺省使用逐流转发

均衡式负载分担(按分担方式负载分担)

逐流转发

溢出式负载分担

逐包转发

三、OSPF链路状态路由协议

1.基本原理

OSPF(Open Shortest Path First)是IETF组织开发的一个 基于链路状态的内部网关协议。目前针对IPv4协议使用的是 OSPF Version 2(RFC2328)。OSPF是不属于任何一个厂 商或组织私有的路由协议,使用Dijkstra的最短路径(SPF) 算法计算路由。

2.OSPF的优点

适应范围广、快速收敛、无自环

区域划分、路由分级、等价路由

支持验证、组播发送

3.网络类型

支持广播,NBMA(非广播多路访问),P2MP(点到多点),P2P(点到点)四种网络类型

类型

缺省支持链路

组播发送报文

单播发送的报文

广播

以太网

Hello,LSU,LSAck

DD,LSR

NBMA

帧中继

Hello,LSU,LSAck,DD,LSR

P2MP

Hello

LSU,LSAck,DD,LSR

P2P

PPP,HDLC,LAPB

Hello,LSU,LSAck,DD,LSR

4.各网络类型拓扑

 

 

5.OSPF认证

OSPF支持报文验证功能,只有通过验证的OSPF报文才能接受,否则将不能正常建立邻居

(1)两种验证方式

区域验证方式,接口验证方式

(2)支持的验证模式按加密算法不同分为

Null,Simple,MD5,HMAC-MD5

当两种验证方式都存在时,优先使用接口验证方式

四、BGP路由协议

1.介绍

BPG是一种自治系统AS之间的动态路由协议

2.特点

EGP协议:在AS之间进行路由选择和控制

可靠性高:使用TCP作为传输层协议,侦听端口号为179

支持CIDR,增量更新

路径矢量,避免环路

提供防止路由震荡机制

3.自治系统(Autonomous System)

自治系统是由一个技术管理机构、使用统一选录策略的一些路由器的集合

自治系统内部的路由协议——IGP

自治系统之间的路由协议——EGP

4.BGP的运行方式

IBGP和EBGP

5.BGP的报文类型

报文类型

功能

Open

负责和对等体建立邻居关系

KeepAlive

该消息在对等体之间周期性地发送,用以维护连接

Update

被用作在BGP对等体之间传递路由信息

Notification

当BGP Speaker检测到错误的时候,就发送该消息给对等体

Route-refresh

Route-refresh报文用来通知对等体自己支持路由刷新能力,并触发对方重新发送其路由信息

6.BGP状态机

7.BGP通告原则

(1)存在多条有效路由时,BGP Speaker只将最优路由发布给对等体

(2)BGP Speaker只把自己使用的路由发布给对等体

(3)BGP Speaker从EBGP获得的路由会向它所有BGP对等体发布(包括EBGP对等体和IBGP对等体)

(4)BGP Speaker从IBGP获得的路由不向它的IBGP对等体发布

(5)BGP Speaker从IBGP获得路由发布给它的EBGP对等体

(6)连接一旦建立,BGP Speaker将把自己所有BGP路由发布给新对等体

8.BGP路径属性

BGP路径属性是一组描述BGP前缀特性的参数

BGP路径属性可以被分为四大类:

公认必遵(Well-known mandatory)

公认任意(Wel-known discretionary)

可选过渡(Optional transitive)

可选非过渡(Optional non-transitive)

9常见BGP路由属性

1、Origin

2、AS_PATH

3. Next hop

4、MED

5、Local-Preference

6、Atomic_Aggregate

7、Aggregator

8、Community

9、Originator_ID

10、Cluster-List

11、MP_Reach_NLRI

12、MP_Unreach_NLRI

13、Extended_Communities

五、策略路由

1.原理

策略路由是在路由表已经产生的情况下,不按照现有的路由 表进行转发,而是根据用户制定的策略进行路由选择的机制 策略路由并没有替代路由表机制,而是优先于路由表生效 ,为某些特殊业务指定转发方向。

场景:基于用户的选路,基于协议、应用的选路

2.策略路由支持的匹配过程

(1)匹配条件

源安全域,入接口,IP地址,服务类型,应用类型,用户

(2)匹配后的动作

策略路由:发送报文到指定下一跳,发送报文到指定出口

不做策略路由

3.智能选路基本原理

智能选路功能是一种基于策略的选路技术,可以按照不同的需求设 置相应的智能选路方式,从而达到理想的分流效果。NGFW支持以 下4种智能选路方式:

根据链路带宽负载分担 ,根据链路权重负载分担 ,根据链路优先级主备备份 ,根据链路质量负载分担

4.ISP选路基本原理

ISP选路功能的实现原理是:生成ISP对应的IP地址文件,并上传到防火墙上,通过指定IP地址文件的下一跳,批量生成静态路由,用户的访问流量按照该静态路由,被分别转发到对应运营商网络。

设备出厂时默认支持如下ISP的IP文件:

china-mobile:中国移动

china-telecom:中国电信

china-educationnet:中国教育网

china-unicom:中国联通

五、命令配置

1.配置多出口:主备模式

1.配置负载分担模式 
load-balance multi-interface standby 2.配置主接口 
interface g1/0/1 
ip add 1.1.1.1 255.255.255.0 
standby ineterface g1/0/7 255 3.配置从接口 
interface g1/0/7 
ip add 2.2.2.2 255.255.255.0 4.配置路由 
ip route-static 0.0.0.0 0 10.1.1.2 
ip-route-static 0.0.0.0 0 10.1.2.2 5.配置验证 
display standby state

2.配置多出口:均衡负载分担

1.配置接口 
interface g1/0/1 
ip add 1.1.1.1 255.255.255.0 
route weigh 50 2.配置负载分担方式 
load-balance multi-interface flow 3.配置路由 
ip route-static 0.0.0.0 10.1.1.2 
ip route-static 0.0.0.0 10.1.2.2

3.配置多出口:溢出式负载分担

1.配置主用接口
interface g1/0/1
ip add 10.1.1.1 255.255.255.0
standby interface g1/0/2
standby threshold 80 302.配置分担接口
interface g1/0/2
ip add 10.2.1.1 255.255.255.03.配置负载分担方式
load-balance multi-interface packet4.配置路由
ip route-static 0.0.0.0 0 10.1.1.2
ip route-static 0.0.0.0 0 10.1.2.25.验证配置
display standby state

4.配置OSPF基本功能

(1)配置route id

系统视图下
router id 1.1.1.1 或 ospf 1 route-id 1.1.1.

(2)配置区域及宣告网络

ospf 1
area 0.0.0.1
network 10.1.1.0 0.0.255.255
stub
area 0.0.0.3
stub no-summary

(3)配置接口类型及开销

inter g1/0/1
ospf network-type p2p
ospf cost 20

(4)通告默认路由,强制通告默认路由

default-route-advertise
default-route-advertuse always

(5)配置安全策略

安全策略要放行OSPF协议

5.配置OSPF高级功能

本端配置 
ospf 1 router-id 1.1.1.1 
area 2 
vlink-peer 2.2.2.2 对端配置 
ospf 1 router-id 2.2.2.2 
area 2 
vlink-peer 1.1.1.1

(2)配置ABR汇总

ospf 100
area 1
network 36.42.10.0 0.0.0.255
netwokr 36.42.11.0 0.0.0.255
abr-summary 36.42.0.0 0.0.0.255

(3)配置ASBR汇总

ospf 100
asbr-summary 10.2.0.0 255.255.0.0
asbr-summary 10.3.0.0 255.255.0.0 not-advertise
asbr-summary 10.4.0.0 255.255.0.0 tag 2 cost 100

(4)配置认证

本段配置
interface g1/0/1
ospf authentication-mode md5 15 cipher huawei@123对端配置
interface g1/0/1
ospf authentication-mode md5 15 cipher huawei@123

6.配置BGP基本功能

(1)配置IBGP对等体

本端
bgp 10
router-id 1.1.1.1
peer 2.2.2.2 as-number 10
peer 2.2.2.2 connect-interface loopbacke 0对端
bgp 10
router-id 2.2.2.2
peer 1.1.1.1 as-number 10
peer 1.1.1.1 connect-interface loopback 0

(2)配置EBGP对待体,配置认证

本端
bgp 10
router-id 2.2.2.2
peer 23.1.1.2 as-number 30
peer 1.1.1.2 password simple huawei123对端
bgp 30
router-id 3.3.3.3
peer 23.1.1.1 as-number 10
peer 1.1.1.2 password simple huawei123

(3)宣告路由引入路由

本端
bgp 10
network 23.1.1.0 255.255.255.0
import route ospf 
import route direct 对端
bgp 30
netwokr 23.1.1.0 255.255.255.0
import route isis
import route direcr

7.配置BGP高级功能

(1)配置BGP反射器

本地
bgp 10
router-id 2.2.2.2
peer 3.3.3.3 as-number 10
peer 3.3.3.3 connect-interfacebgp 10
router-id 4.4.4.4
peer 3.3.3.3 as-number 1-
peer 3.3.3.3 connect-interface对端
bgp 10
router-id 3.3.3.3
peer 2.2.2.2 as-number 10
peer 2.2.2.2 connect-interface loopback 0
peer 4.4.4.4 as-number 10
peer 4.4.4.4 connect-interface loopback 0
peer 2.2.2.2 reflect-client
peer 4.4.4.4 reflect-client

(2)配置BGP路由过滤

aci number 2000
rule 5 deny source 50.0.0.0 0.255.255.255
rule 10 permit
bgp 10
peer 4.4.4.4 filter-policy 2000 import

(3)配置BGP属性

bgp 10
peer 3.3.3.3 next-hop-local
peer 3.3.3.3 route-policy change_as_path import 

8.配置策略路由

ip-link check enable
ip-link 1 destination 202.168.10.1 mode icmp
ip-link 2 destination 202.169.10.1 mode icmp

(2)配置策略路由

基于用户
policy-based-route
rule name pbr_1description pbr_1source-zone trustuser /marketinguser /presidenttrack ip-link 1action pbr next-hop 202.168.10.1
rule name pbr_2source-zone trustuser /researchtrack ip-link 2action pbr netx-hop 202.169.10.1基于应用
policy-based-route
rule name pbr_1
source-zone trustapplication category
Business_Systemstrack ip-link 1action pbr egress-interface 
g1/0/2 next-hop 202.168.10.1rule name pbr_2source-zone trustapplication categroy
Entertainmenttrack ip-link 2action pbr egress-interface 
g1/0/4 next-hop 202.169.10.1基于源地址
policy-based-route
rule name pbr_1source-zone trustsource-address 10.1.1.0 24track ip-link 1action pbr next-hop 202.168.10.1rule name pbr_2source-zone trustsource-address 10.1.2.0 24track ip-link 2action pbr next-hop 202.169.10.1

9.配置ISP选路

1.上传IP地址文件
ftp 10.1.10.1
get isp1.csv
get isp2.csv2.配置IP地址文件的出接口
isp set filename isp1.csv next-hop 211.1.1.1
isp set filename isp2.csv next-hop 221.1.1.13.启用导入的IP地址文件
isp enable filename isp1.csv
isp enable filename isp2.csv4.检查配置
display ip route

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/30462.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

robotframework+selenium 进行webui页面自动化测试

robotframework其实就是一个自动化的框架,想要进行什么样的自动化测试,就需要在这框架上添加相应的库文件,而用于webui页面自动化测试的就是selenium库. 关于robotframework框架的搭建我这里就不说了,今天就给大家根据一个登录的实…

OBS视频视频人物实时扣图方法(四种方式)

图片擦除一些杂乱图像 参考:https://www.bilibili.com/video/BV1va411G7be https://github.com/Sanster/lama-cleaner第一种:色度键选项 第二种:浏览器建立窗口选项 参考视频:https://www.bilibili.com/video/BV1WS4y1C7QY http…

【SpringBoot框架篇】33.优雅集成i18n实现国际化信息返回

文章目录 1.简介2.MessageSource配置和工具类封装2.1.配置MessageSource相关配置2.2.配置工具类2.3.测试返回国际级文本信息 3.不优雅的web调用示例(看看就行,别用)4.优雅使用示例4.1.错误响应消息枚举类4.2.ThreadLocal工具类配置4.2.1.ThreadLocal工具类数据封装4…

(四)Node.js - npm与包

1. 什么是包 Node.js中的第三方模块又叫做包。 不同于Node.js中的内置模块与自定义模块,包是由第三方个人或团队开发出来的,免费供所有人使用。 由于Node.js的内置模块进提供了一些底层的API,导致在基于内置模块进行项目开发时&#xff0c…

USB(二):Type-C

一、引脚定义 Type-C口有 4对TX/RX差分线,2对USB D/D-,1对SBU,2个CC,4个VBUS和4个地线Type-C母座视图: Type-C公头视图: 二、关键名词 DFP(Downstream Facing Port): 下行端口&#xff0c…

Direct path read LOB

Table full scan : wait event Direct path read because of LOB "Direct path read" Wait Event During LOB Access (Doc ID 2287482.1)​编辑To Bottom In this Document Symptoms Changes Cause Solution References APPLIES TO: Oracle Database …

win11虚拟机安装

win11虚拟机安装 下载虚拟机客户端安装客户端创建虚拟机下载 ISO切换root账号GNOME桌面 下载虚拟机客户端 版本是16.2.3 链接:https://pan.baidu.com/s/13c6XVWFbeQKbCnrlfxD8cA 提取码:qxdc 安装客户端 安装向导 点击下一步 接收条款,点…

爬虫012_字典高级操作_查询_修改_添加_删除和清空_遍历---python工作笔记031

然后来看字典高级,首先 打印某个元素 然后打印的时候注意,如果直接打印的值,在字典中没有就报错 这里要注意不能用点访问

【多维定向滤波器组和表面波】表面变换:用于高效表示多维 s 的多分辨率变换(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

Unity 基础函数

Mathf: //1.π-PI print(Mathf.PI); //2.取绝对值-Abs print(Mathf.Abs(-10)); print(Mathf.Abs(-20)); print(Mathf.Abs(1)); //3.向上取整-Ce il To In t float f 1.3f; int i (int)f; …

如何在群辉NAS系统下安装cpolar套件,并使用cpolar内网穿透?

如何在群辉NAS系统下安装cpolar套件,并使用cpolar内网穿透? 文章目录 如何在群辉NAS系统下安装cpolar套件,并使用cpolar内网穿透?前言1. 在群辉NAS系统下安装cpolar套件2. 管理隧道列表3. 创建固定数据隧道 前言 群晖作为大容量存储系统,既可…

bootloader跳转APP注意事项

在gd32f427 时跳转异常 参考文章: https://club.rt-thread.org/ask/question/425321.html%20https:/club.rt-thread.org/ask/question/eab19452583b5959.html https://club.rt-thread.org/ask/question/eab19452583b5959.html 关闭全部中断,并且清除中…

springcloud3 springcloud stream的学习以及案例

一 springcloud stream的作用 1.1 springcloud stream作用 stream屏蔽底层消息中间件的差异,降低切换成本,统一消息的编程模型。 stream中的消息通信模式遵循了“发布-订阅”模式。 1.2 Binder作用 通过定义绑定器Binder作为中间层,实现…

力扣hot100刷题记录

二刷hot100&#xff0c;坚持每天打卡&#xff01;&#xff01;&#xff01;Today&#xff1a;2023-8-10 1. 两数之和 // 先求差&#xff0c;再查哈希表 public int[] twoSum(int[] nums, int target) {Map<Integer,Integer> map new HashMap<>();for(int i 0;i&…

SpringBoot 升级内嵌Tomcat

SpringBoot 更新 Tomcat 最近公司的一个老项目需要升级下Tomcat&#xff0c;由于这个项目我完全没有参与&#xff0c;所以一开始我以为是一个老的Tomcat项目&#xff0c;升级它的Tomcat依赖或者是Tomcat容器镜像&#xff0c;后面发现是一个SpringBoot项目&#xff0c;升级的是…

Dockerfile 简单实战

将flask项目打包成镜像 1. 准备flask文件 创建 app.py 文件&#xff0c;内容如下 from flask import Flask app Flask(__name__)app.route(/) def hello_world():return Hello Worldif __name__ __main__:app.run(host0.0.0.0, port8000, debugTrue) 并开启外网访问&#xf…

vue消息订阅与发布,实现任意组件间通讯

第一步&#xff1a;下载第三方消息订阅与发布库&#xff0c;例如常用的pubsub.js,他可以在任何框架中使用包括vue、react、anglar等等。 命令&#xff1a;npm i pubsub-js 注意是pubsub-js(不是点); 第二步&#xff1a;引入库&#xff1b; import pubsub from pubsub-js 第…

Java并发编程(二)并发理论[JMM/重排序/内存屏障/Happens-Before 规则]

JMM(Java内存模型) 概述 JMM即Java内存模型(Java Memory Model),是一种抽象的概念,并不真实存在,JMM描述的是一组规则或规范,通过这组规范定义了程序中各个变量的访问方式Java内存模型中规定所有变量都存储在主内存,主内存是共享内存区域,所有线程都可以访问,但线程对变量的操…

Android AOSP源码编译——AOSP下载(一)

一、电脑配置 Ubuntu16.04 16G&#xff0c;硬盘的大小最好大于300G (我这边是找了个win电脑装了双系统 没有使用虚拟机的方式) 二、基础环境配置 1、安装git sudo apt install git配置git email和name git config --global user.email "youexample.com" git conf…

数据结构—树和二叉树

5.树和二叉树 5.1树和二叉树的定义 树形结构&#xff08;非线性结构&#xff09;&#xff1a;结点之间有分支&#xff0c;具有层次关系。 5.1.1树的定义 树&#xff08;Tree&#xff09;是n&#xff08;n≥0&#xff09;个结点的有限集。 若n0&#xff0c;称为空树&#x…