防火墙--NAT和智能选路的一些知识

就是会使公网地址池中的地址都生成一条指向其自身的空接口，这里主要是为了
应对公网地址和出接口地址不在同一个网段的情况，因为在这种情况下，如果公网用户访问地
址池中的公网地址，将可能造成环路，所以，需要通过空接口防环；如果公网地址池地址和出
接口在同一个网段，也可以勾选该选项，这种情况下虽然不会出现环路，但是，有了这个黑洞
路由，可以减少ARP报文的出现；
来用例子解释一下
有一个设备想要访问不在同一网段的公网地址，走到防火墙里没有匹配到安全策略，而是去查看路由表路由表中有一条缺省，然后再传给运营商的网络，这样就成了环了。如果是同一网段的公网地址走的是直连路由，再进行转发的时候可以类比网关转用ARP发数据包给别人，但是网关是要不到MAC的，所以就没有办法转发，所以就没有转发就不会成环

NAT类型

在高级里面，有如下 NAT类型

五元组NAT
通过源IP，源端口，目标IP，目标端口，协议五个参数来标定一次NAT的转
换，如果任何一个参数发生变化，都需要更换端口来进行转换。
三元组NAT
仅识别源IP，源端口和协议三个参数来区分一次NAT的链接。
p2p传输模式，qq就是传输模式。当两个机制进行通信时是先将信息交给服务器，然后由服务器转发，但是这样存储对服务器压力很大。这时就用到了p2p，客户端将信息告诉了服务器，服务器将信息（IP地址之类的）告诉对端的IP，然后就是对端的IP相互通信。
但是如果这个通过防火墙的话会出问题，当服务器将信息传给对端客户端，对端客户端回包的时侯目标端口和目标IP都可能会发生改变，这样就匹配不上会话表了没有办法通过防火墙。所以，需要防火墙做出一些让步，使用三元组匹配。这样nat就通过，再然后如果外网可以访问内网就可以通信了

端口预分配

提前决定NAPT转换的端口

源IP地址最大数量

限制公网IP能转换的源IP地址数量、

保留IP地址

可以将不需要使用的公网IP地址放置在保留IP地址中，则在进行转换的时候，不会使用该地址转换。

转换目的地址

目的地址转换方式

公网端口与私网端口一对一转换是公网端口可以对应私网不同的端口，比如12.0.0.1:80对应192.168.1.23:8080端口

公网端口与私网地址的一对一转换是公网端口对应的私网端口相同，比如12.0.0.1:80对应192.168.1.23:80双向转换

这个目标nat在安全策略匹配的时候是先进行NAT转换再是安全策略的匹配

双向NAT

这个情况就是当内网地址通过公网地址去访问内网，可以配置双向

不做转化

注：源NAT是在安全策略实现后实现

从会话表区分是动态转换还是NAPT

看其源端口和NAT源端口是否发生改变

动态nat会创建server-map表其他NAT不会创建server-map表，而是直接创建会话表

服务器映射

专门做nat的

这里如果你配置接口地址做公网地址的话，就要把配置路由黑洞去掉，不然的话去往那个接口的流量都会被丢到黑洞去了

安全区域

填写的是允许那个区域来访问

公网地址

对应的公网地址

私网地址

自己服务器地址

多出口NAT

源NAT
1，将不同的接口放置在不同的区域中，基于区域做NAT策略
2，将不同的接口放在同一个区域，基于接口做NAT策略
目标NAT
1，可以分区域配置两个服务器映射
2，也可以是同一个区域。注意，如果是同一个区域，不能将两条服务器映射策略同时
开启"允许服务器访问公网"
在多借口选项处，有一个原进原出的选项

智能选路

这个东西主要应对于多出口的这种环境

传统路由的选路就是浮动静态，和负载分担

现在有了智能选路就有了一下四种

就近选路

根据访问的节点所在的运营商选择对应的运营商线路，当你想要访问电信的节点的时候要走电信的链路显然更近一些，走移动的链路明显就走远了。
如何选择链路，首先要识别，下面新建运营商，上传一个文件文件里面包含了对应运营商的IP地址

这个东西的配置在如下图所在位置

导入运营商地址

和接口绑定

策略路由

也是一种策略，不仅可以按照现有的路由表转发，还可以根据用户指定的策略进行路由选择机制，从更多维度决定路由如何转发

DSCP优先级

做服务的确保加速转发，优先转发啥的，如下图

动作

转发到其他虚拟系统

虚拟系统VRF，逻辑抽象成多台设备

监控

如果没有配置监控，则匹配上策略路由的流量发现下一跳不可达，则将直接丢弃数据
包；如果可开启了检测，检测发现目标下一跳不可达，则将使该策略不生效，则直接不
匹配流量，数据包将直接走路由表。

智能选路

这个智能选路指的是如下图地方设置

全局的选路策略

在哪配置（在策略路由里面也可以配置，只不过策略路由里面是对匹配到的流量进行配置）

基于链路带宽进行负载分担

如果传输的流量超过保护阈值（这个在链路接口处配置），该链路退出智能选路。剩下链路继续进行智能选路

会话保持

基于源IP的会话保持

来自同一个源IP或者同网段源IP的流量将始终使用同一个出接口转发，适用于对链路切换敏感的场景，比如说你打游戏，如果切换链路网是不是会卡一下，难受一下
基于目的IP的会话保持
访问同一个目标或者相同目标网段，流量始终使用同一出接口转发，适用于对链路切换敏感的场景

基于链路质量进行负载分担

在哪配置

按照下图的三个元素来对比链路质量

丢包率

防火墙会连续发送若干个（默认5个）探测报文，去计算丢包的比
例。（丢包个数/探测报文个数） --- 丢包率是最主要的链路质量参数

时延

防火墙会连续发送若干个（默认5个）探测报文，取五次往返时间的平均值
作为时延参数。

延时抖动

防火墙会连续发送若干个（默认5个）探测报文，取两两之间时延差值
的绝对值的平均值。

基于链路权重的负载分担

在哪配置

权重值由网路管理员手工指定

根据链路优先级的主备备份

这个是一条链路工作，另外一条链路down，等好的那条链路坏掉，再整另外一条链路

在哪配置

优先级也是由网络管理员手工指定，
如果没有配置过载保护，则优先级最高的先工作，当该链路故障，则次高的开始工作，
其余继续备份，以此类推；
如果配置了过载保护，则优先级最高的先工作，当超过保护阈值，则次高的开始工作，
其余继续备份，相当于此时两条链路同时工作，以此类推

智能选路的流程

DNS透明代理

前提需要结合就近选路，当就近选路遇到一些问题需要DNS透明代理来帮忙优化
你访问的节点到底是电信还是移动，看人家DNS服务器给你的是哪个，比如说你去访问百度，然后你的DNS服器务是电信DNS的就给你的是百度在电信布置的节点，如果是移动的就给你移动的节点，DNS透明代理就是改变这个情况
防火墙可以把你DNS请求报文的目标地址修改
如何修改，是基于就近选择的配置，在接口处配置