一、默认路由与链路备份
如图,企业分别从电信、联通租用一条链路,组成双出口网络,其中,电信为主链路、联通为备用链路。
在防火墙可配置两条默认路由,其中电信出口的默认路由优先级高于联通出口的默认路由,实现链路的备份,正常情况下,流量均经过电信链路实现访问互联网,当电信链路故障时,其默认路由失效,所有流量将从联通链路访问互联网。
java
[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.2 preference 60
[USG6000V1]ip route-static 0.0.0.0 0 10.1.2.2 preference 65
[USG6000V1]display ip routing-table verbose
2024-03-02 07:40:39.580
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 9 Routes : 10
Destination: 0.0.0.0/0
Protocol: Static Process ID: 0
Preference: 60 Cost: 0
NextHop: 10.1.1.2 Neighbour: 0.0.0.0
State: Active Adv Relied Age: 00h00m20s
Tag: 0 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x80000003
RelayNextHop: 0.0.0.0 Interface: GigabitEthernet1/0/1
TunnelID: 0x0 Flags: RD
Destination: 0.0.0.0/0
Protocol: Static Process ID: 0
Preference: 65 Cost: 0
NextHop: 10.1.2.2 Neighbour: 0.0.0.0
State: Inactive Adv Relied Age: 00h03m30s
Tag: 0 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x80000002
RelayNextHop: 0.0.0.0 Interface: GigabitEthernet1/0/2
TunnelID: 0x0 Flags: R
二、等价路由
使用默认路由实现链路备份很简单,但是同一时刻只能使用一条链路,另一条处于备用状态,很浪费带宽资源,此时可以配置等价路由,两条路由优先级是一致的,仍以上面网络为例。
java
[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.2
[USG6000V1]ip route-static 0.0.0.0 0 10.1.2.2
[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]gateway 10.1.1.2
[USG6000V1-GigabitEthernet1/0/1]quit
[USG6000V1]interface g1/0/2
[USG6000V1-GigabitEthernet1/0/2]gateway 10.1.2.2
可以用传统的方式配置,也可以在防火墙接口视图下,指定网关的方式,设置等价默认路由。
配置完成,采用抓包,分别抓取防火墙G1/0/1、G1/0/2接口。
防火墙根据每条流的源目地址,用HASH算法计算,并选择链路,地址不同,计算结果也就不同,网络中访问的流量的源目地址是随机的,很难实现等价路由负载分担。
三、ISP路由与ISP选路
还是以上图企业网络为例,配置防火墙两条默认路由,每个ISP一条,当企业内网用户访问外网服务器时,报文到达防火墙有两条路径,很明显,通过联通可以很快到达服务器,而电信则绕了远路,严重影响用户体验。
此时可以配置明细路由,报文会优先匹配明细路由,之后再查找默认路由,以最上面组网为例的明细路由为:
[USG6000V1]ip route-static 10.10.10.10 32 10.1.1.2
[USG6000V1]ip route-static 10.10.20.20 32 10.1.2.2
现实环境中,网络复杂,不可能一条一条配置明细路由,此时需要ISP路由,每个ISP都会有自己的公网知名网段,如果ISP的所有公网知名网段配置成明细路由,则可以避免绕路问题。
1、收集ISP内所有的公网网段,把地址网段填写到后缀为.csv文件中,即ISP地址库文件。
可以去华为安全中心平台查找中国移动、电信、联通等主流ISP地址库文件。
2、编辑完成ISP地址库文件后,将其上传到防火墙根目录的ISP文件夹下。
相当于执行了:ip name chinaisp et filename ispDemo.cv
3、在IP路由界面,新建IP路由,为chinaip指定下一跳和出接口。
相当于执行了:ip route-isp chinaisp interface g1/0/1 10.1.1.2
由于ensp模拟器无法模拟此web配置,为此忽略。
参考资料:防火墙和VPN技术与实践------李学昭