防火墙NAT配置及智能选路

目录

• 防火墙NAT
• • NAT概述
  • NAT分类
  • • 1、静态NAT
    • 2、动态NAT
    • 3、NAPT
  • 智能选路
  • • 全局选路策略
    • • 基于链路带宽进行负载分担
      • 基于链路质量进行负载分担
      • 基于链路权重的负载分担
      • 根据链路优先级的主备备份
      • DNS透明代理
    • 策略路由

防火墙NAT

NAT概述

NAT技术又名网络地址转换，它是网络架构中必不可少的一部分，其产生的原因就是IPv4地址不足需要同私网地址向公网地址进行转换从而实现内网与外网进行通信，一般作用在路由器或者三层交换机上利用ACL抓取流量然后配置相应的NAT。在防火墙上也是非常重要的一部分，其扩展性和功能也更加强大。

NAT分类

1、静态NAT

静态NAT，就是一个主机就会占用一个公网ip，这种模式比较浪费IP地址，其应用场景就是在私网内部有一个需要外网访问的服务器是就可以配置，这种模式可以想到转换协议就有点多余了，但是如果有一些其他的特殊需求比如想要隐藏服务器IP就可以转换。

2、动态NAT

动态NAT本质上和静态NAT是一样的，使用也是一个主机占用一个公网IP,还是需要你有足够的公网IP,动态NAT的工作方式是能将你内网的IP地址映射到IP公网地址池里面，不需要你对地址进行一对一进行绑定，有空闲的公网才能映射到主机地址，如果上网主机多于公网地址则需要排队。

3、NAPT

NAPT是里面最灵活也是最常用的模式，它会同时进行地址和端口转换，与上面几个模式比NAPT不仅仅会将地址进行转换还会转换源端口，当一个内网IP携带者端口号时相当于将有自家编号的钥匙寄存在边界路由器或者防火墙那里而这个房间有65535个不同的房间，出去回来后拿到钥匙才知道回哪个家，这就使得一个公网IP可以对应多个私网用户，在防火墙中还能够通过控制五元组或者三元组来判断是否需要产生新的会话改变新的端口

智能选路

全局选路策略

全局选路策略分为四种，分别会根据权重、带宽、质量、优先级。来进行判定是流量分担还是进行备份，下面我对每个模式一次进行讲解。

基于链路带宽进行负载分担

在这个模式里会根据链路的带宽来进行比例分配流量的流向从而分担转发压力，在这里面有一个过载保护阈值，如果流量过多超过了保护的阈值，那么这条链路就不会继续参与流量分担而在剩下的链路中继续进行选路。

其中会话保持的源IP指来自同一个源IP或者网段源IP的流量始终使用同一个出接口转发，适用于对链路切换敏感的场景

而目的IP的意思是在访问同一个目标或者同一个目标网段，流量始终使用同一个出接口转发，适用于对链路切换敏感的场景

基于链路质量进行负载分担

1、丢包率---防火墙会连续发送若干个（默认5个）探测报文，去计算丢包的比例。（丢包个数/探测报文个数）

2、时延---防火墙会连续发送若干个（默认5个）探测报文，取五次往返时间的平均值作为时延参数。

3、延时抖动---防火墙会连续发送若干个（默认5个）探测报文，取两两之间时延差值的绝对值的平均值。

这里的每一项都可以勾选或者不勾选，判定是否使用其中丢包率是最主要的链路质量参数

基于链路权重的负载分担

在这个模式中，权重是由自己手工指定更加灵活，通过自己配置权重的比例来对流量分担

根据链路优先级的主备备份

这个模式是通过优先级来判断，优先级和权重一样需要手工指定，但和它不同的是手工指定的是主次备份，如果没有配置过载保护，则优先级最高的先工作，当该链路故障，则次高的开始工作，其余继续备份，以此类推；如果配置了过载保护，则优先级最高的先工作，当超过保护阈值，则次高的开始工作，其余继续备份，相当于此时两条链路同时工作，以此类推。

DNS透明代理

DNS透明代理的实质就是在用户访问网站是比如上图的www.example.com，电脑的DNS配置的是右边的DNS服务器想通过ISP2来获取ip地址从而访问，但是通往ISP2的DNS的流量过载这个时候NGFW防火墙就换在内部对你的DNS地址进行修改到左侧的DNS服务器地址从而访问ISP1来获取从而减缓负担。

可以来防火墙上提前输入首备地址来进行转换。

策略路由

防火墙策略路由是在路由表的基础上，通过自主灵活控制路由来进行转发，可以通过各种参数来进行控制比如：接口、安全区域、源/目IP地址、用户、服务、应用等等来确定如何转发报文。

1、名称、描述、标签都可以自己定制，最好做到见文知意，标签能做到提醒作用

2/3、第二和第三点是相互绑定的，可以通过防火墙的源安全区域或者是接口来进行控制

4、需要控制的源地址

5、需要绑定到的目的地址

6、绑定到指定用户

7、局限哪些服务比如TCP、http、icmp

8、局限哪些应用服务比如上网、视频、音乐

9、控制哪些时间段生效

10、这是指在IP报文里面的TOS服务类型字段，可以控制哪些服务能够优先

11、实现转发还是转发到其他虚拟系统还是不使用策略路由，转发到其他虚拟系统的意思就是将主机的端口进行映射到虚拟机的ip和端口，这样就可以在局域网的其他电脑，通过主机的ip和端口进行访问虚拟机的对应的端口。 这个方法常用于通过主机的端口访问虚拟机服务器搭建的网站，如：原本在虚拟机（192.168.85.129）运行了 k8s-dashboard （端口10000）这个网站。

12、确定使用单出口还是多出口，多出口一样可以配置智能选路那四个方式

13、控制出接口，选择需要那个口做策略

14、配置吓一跳出口