【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...

[复制链接]
发表于 : 2014-12-18 11:13:04 最新回复:2018-07-05 23:40:07
17188 25
强叔侃墙
强叔侃墙 官方号

大家好,通过上一篇我们了解了就近选路的相关原理和应用场景,同时也明确了就近选路的一些使用限制,了解到只凭借目的IP地址查找路由的选路方式缺乏灵活,适用的场景比较单一。实际场景中,网络环境复杂,单一的通过目的IP地址查找路由的选路方式无法达到网络管理员的要求,所以,有着多样匹配条件的策略路由加入了选路的行列。
        说到策略路由选路,强叔先想到了策略路由早期在中国最大的应用莫过于在电信网通互联互通中的应用。电信网通分家之后出现了中国特色的网络环境,就是南电信,北网通(现在合并到联通)。在网络只有单出口的条件下会出现电信用户访问网通的服务较慢,网通用户访问电信的服务也较慢的问题。此时,人们就想到了企业网络双出口方案――网络出口同时接入到电信和网通。双出口方案的普及使得策略路由有了用武之地!通过在企业出口网关设备上配置策略路由,成功的实现了电信流量走电信出口,网通流量走网通出口。
        策略路由是如何实现电信、网通流量的科学分流呢?我们还是先从什么是策略路由开始说起。
        1 策略路由的概念

        所谓策略路由,顾名思义,即是根据一定的策略进行报文转发。而策略是人为制定的,因此策略路由是一种比传统的按照目的地址选路更灵活的选路机制。在防火墙上配置策略路由后,防火墙首先会根据策略路由配置的规则对接收的报文进行过滤,匹配成功则按照一定的转发策略进行报文转发。其中“配置的规则”即是需要定义匹配条件,一般是通过ACL来定义匹配条件;而“一定的转发策略”则是需要根据匹配条件执行相关的动作。由此可以推断策略路由由以下两部分组成,如下:
  •        
  •                 匹配条件(通过ACL定义)
                        用于区分将要做策略路由的流量。匹配条件包括:报文源IP地址、目的IP地址、协议类型、应用类型等,不同的防火墙可以设置的匹配条件略有不同。在一条策略路由规则中,可以包含多个匹配条件,各匹配条件之间是“与”的关系,报文必须同时满足所有匹配条件,才可以执行后续定义的转发动作。       

  •        
  •                
                            动作               

                        对符合匹配条件的流量采取的动作,包括指定出接口和下一跳。       
        当有多条策略路由规则时,防火墙会按照匹配顺序,先寻找第一条规则,如果满足第一条策略路由规则的匹配条件,则按照指定动作处理报文。如果不满足第一条规则的匹配条件,则会寻找下一条策略路由规则。如果所有的策略路由规则的匹配条件都无法满足,报文按照路由表进行转发,策略路由的匹配是在报文查找路由表之前完成,也就是说策略路由比路由的优先级高。如下图所示。
       

        【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-1
         
        此外,如果策略路由指定的出接口或下一跳Down或不可达,那么报文将以报文中的目的地址为依据来查找路由表进行转发。
        说完策略路由的基本原理后,现在我们回过头来看看策略路由是如何实现电信流量从电信转发,网通流量从网通转发的?
        2 基于目的IP地址的策略路由

        我们通过一个组网环境来验证这种策略路由的效果,组网如下。
       

        【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-2
         
        组网中FW为企业出口网关,通过两条链路连接到Internet,其中经过R1的链路为电信的线路;经过R2的链路为网通的线路。现在我们要让企业用户访问10.10.11.11/32这个Internet服务从电信线路转发,而10.10.10.10/32这个服务从网通线路转发。
        如果在FW上配置两条缺省路由,企业用户在访问10.10.11.11/32和10.10.10.10/32这两个服务时,经过验证发现都是经过R1这条链路进行转发的,这个我们在上一期就近选路中就说过,缺省路由的选路是通过源IP地址+目的IP地址的HASH算法来计算报文选择的出口链路,无法控制访问10.10.11.11/32的流量从电信线路转发,访问10.10.10.10/32的流量从网通线路转发的要求。
        下面我们在FW上配置策略路由,看看实验效果如何,配置如下(我们以USG2000/5000系列防火墙为例):
        1、根据报文目的地址设置匹配条件
        acl number 3000
         rule 5 permit ip destination 10.10.11.11 0
        acl number 3001
         rule 5 permit ip destination 10.10.10.10 0
2、配置策略路由        policy-based-route test permit node 10
          if-match acl 3000                             //应用匹配条件
          apply ip-address next-hop 10.1.1.2        //配置动作,重定向至电信下一跳
         policy-based-route test permit node 20
          if-match acl 3001                             //应用匹配条件
        apply ip-address next-hop 10.1.2.2        //配置动作,重定向至网通下一跳      
        3、应用策略路由
        interface GigabitEthernet0/0/3
         ip address 192.168.0.1 255.255.255.0
        ip policy-based-route test                  //在入接口应用策略路由
        配置完成后,我们在在PC上ping 10.10.11.11和10.10.10.10两个地址,能正常ping通。同时在FW上查看会话表达的详细信息,显示如下:【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-3
        通过显示信息可以看到去往10.10.11.11的报文是从FW的GE0/0/1接口转发的,下一跳为R1与FW相连的接口地址;而去往10.10.10.10的报文是从FW的GE0/0/2接口转发的,下一跳为R2与FW相连的接口地址,从而达到访问10.10.11.11/32的流量从电信线路转发,而访问10.10.10.10/32的流量从网通线路转发的要求。
        看到这里,可能大家会说,在上一篇介绍的就近访问也能达到这个要求,对!的确是如此。因为就近选路中缺省路由+明细路由的选路方式是根据目的地址进行报文的转发,而上面配置的策略路由也是以报文目的地址为条件制定转发策略,所以能够完成同样的需求。但策略路由更多的体现在人为的控制方面,而传统的按目的地址路由只能由系统内置的HASH算法或者是系统的内部实现来决定报文的转发。
        事实上,传统的路由只能根据报文的目的地址为用户提供比较单一的路由方式,它更多的是解决网络报文的转发问题,而不能提供更灵活的服务。策略路由则不同,它使网络管理者不仅能够根据目的地址,而且能够根据报文源IP地址、协议类型、应用类型或者其它条件来选择转发路径,所以说策略路由有着比传统路由协议对报文的更强控制能力。
        3 基于源IP地址的策略路由

        如果说上面的应用与就近访问方式还有一些交集,那我们来看看策略路由选路的另外一个应用。大家都知道,光纤到户是目前网络的发展方向,但光纤的费用在今天的中国并不便宜,于是很多地方都采用了光纤加ADSL的方式,然而这样就出现了两条速度不同的线路接入互联网。通过策略路由可以让一部分优先级较高的用户***纤,另一部分级别低的用户机走ADSL。我们还是以事实为依据,模拟组网环境如下。
       

        【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-4
         
        组网中FW为企业出口网关,通过从不同的ISP连接了两条链路到Internet,其中经过R1的链路带宽速率较高,假设为10Mbit/s;经过R2的链路带宽速率较小,为2Mbit/s。为保证企业老板访问Internet的效果,让其访问流量从经过R1的链路进行转发,而员工的访问流量从经过R2的链路转发。
        想要完成上述要求,通过目的地址查找路由的方式是无法完成的,而通过策略路由设置源IP地址为匹配条件很轻松就能解决此问题。在FW上的配置如下(我们以USG2000/5000系列防火墙为例):
        1、根据报文源IP地址设置匹配条件
        acl number 3000
         rule 5 permit ip source 192.168.10.0 0.0.0.255
        acl number 3001
        rule 5 permit ip source 192.168.0.0 0.0.0.255
        2、配置策略路由
        policy-based-route boss permit node 10
          if-match acl 3000                               //应用匹配条件
          apply ip-address next-hop 10.1.1.2          //配置动作,重定向下一跳为R1
         policy-based-route employee permit node 10
          if-match acl 3001                              //应用匹配条件
          apply ip-address next-hop 10.1.2.2         //配置动作,重定向下一跳为R2    
        3、应用策略路由
        interface GigabitEthernet0/0/3
         ip address 192.168.0.1 255.255.255.0
         ip policy-based-route employee              //在入接口应用策略路由
        interface GigabitEthernet0/0/4
         ip address 192.168.10.1 255.255.255.0
        ip policy-based-route boss               //在入接口应用策略路由
        配置完成后,分别在老板和员工的PC上ping Internet上的Server地址10.10.10.10,并在FW上查看会话表详细信息,显示如下:
       

        【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-5
        显示信息中,老板(192.168.10.10)访问Server的流量是从R1(10.1.1.2)的链路进行转发的;而员工(192.168.0.2)访问Server的流量是从R2(10.1.2.2)的链路转发的。从而完成了优先级较高的用户走高速链路,而低级别用户从低速链路转发的需求。
        4 基于应用的策略路由

        前面介绍的这些是策略路由选路的一些传统的应用,在现网中,策略路由选路还有一种常用的用法是与应用有关。大家都知道,网络中各种应用层出不穷,其中一些大流量的应用,如P2P、在线视频等占用了企业大量的出口带宽,严重影响了正常业务流量的转发效果。防火墙的策略路由能与应用识别功能相结合,以流量的应用类型为匹配条件,实现基于应用的策略转发,这就是我们所熟知的基于应用的策略路由。
        下面强叔也通过一个实际的组网环境来验证一下基于应用的策略路由的实际效果。
       

        Snap277 
         
        组网环境中,FW为企业出口网关,通过从ISP1和ISP2获得两条链路与Internet相连,其中ISP2提供的链路上下行的带宽对称,链路状态稳定,为企业正常业务流量主要转发链路;ISP1提供的链路上下行的带宽不对称,网速较慢,但租用价格低廉,可提供给一些大流量应用(图中为P2P)转发的链路。
        我们通过“比特精灵”工具模拟P2P业务,在Server上模拟P2P服务器,在企业用户PC1上模拟P2P客户端,同时使用Ping模拟正常业务。
        现在FW上配置基于应用的策略路由,让P2P应用的流量从GE2/2/21出接口转发,而正常的流量直接通过路由从GE2/2/17出接口转发,配置命令如下(我们以USG9000系列防火墙为例):
        1、根据报文源IP地址设置匹配条件
        acl number 3000
        rule 5 permit ip source 192.168.0.0 0.0.0.255
        2、配置策略路由
        traffic classifier p2p operator or
         if-match acl 3000 category p2p                      //对用户的P2P应用设置为匹配条件
        traffic behavior p2p                                            
         redirect ip-nexthop 10.1.1.2 interface GigabitEthernet2/2/21  //重定向出接口和下一跳
        traffic policy p2p   
         share-mode        
        classifier p2p behavior p2p  
        3、应用策略路由
        interface GigabitEthernet2/2/23
         ip address 192.168.0.1 255.255.255.0
        traffic-policy p2p inbound                  //在入接口应用策略路由
        配置完成后,我们在PC1上开启“比特精灵”客户端下载功能,截图如下:
       

        【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-7
         
        然后我们在FW上查看会话表,显示如下:【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-8
        通过显示信息可以看到,访问的目的地址和端口与“比特精灵”客户端上的显示一致,都是10.10.10.10:29553,并且这部分流量是从出接口为GE2/2/21、下一跳为10.1.1.2的链路进行转发的,与策略路由重定向的出接口和下一跳一致,说明基于P2P应用的策略路由应用成功。
        下面我们在PC1上ping 10.10.10.10这个Server的地址。
        此时,我们再在FW上查看会话表,显示如下:【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-9
       

        显示信息中显示这部分流量是从出接口GE2/2/17、下一跳为10.1.2.2的链路进行转发的。说明我们的正常业务流量是从ISP2提供的链路进行转发的,达到了预期要求。
        综合上面几个策略路由选路的应用,可以看到策略路由选路的灵活应用关键在于匹配条件的灵活多样,不同场景匹配不同的条件,如上面的三个应用包含的匹配条件分别为目的IP地址、源IP地址和应用类型。此外,还有许多匹配条件会比较常用,如用户、协议类型等,因为配置方法基本相同,这里就不一一介绍。
        5 旁路组网下的策略路由选路

        在现网中,策略路由的另外一种应用却不得不提,就是防火墙旁挂企业出口时,通过策略路由引流到防火墙进行安全防护。当然此时的策略路由不是在防火墙上进行配置的,但这种应用场景在许多企业出口和数据中心出口都经常用到,为此,我们也对这种应用做一个介绍。
        首先我们还是通过实际组网环境来验证这种场景,如下图所示。
       

        【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-10
         
        组网中企业出口为路由器R1,防火墙FW旁挂在出口路由器R1上。当外网用户访问内网服务器时,流量从出口路由器引流到防火墙进行安全防护后,再转发到内网服务器。
        此组网中,策略路由是在出口路由器R1上配置的,路由器策略路由的配置思路与上面介绍的防火墙的策略路由配置思路一致,都是先定义匹配条件(本地为目的IP地址)、设置动作(重定向出接口或下一跳),然后在入接口上应用。此组网中的防火墙除了对引入的流量进行安全防护外,还需要把流量回注到出口路由器R1上。安全防护的内容强叔在前面的帖子中已经介绍过,这里主要说下回注的问题。回注其实很简单,这里介绍静态路由和OSPF两种回注方法。
  •        
  •                 静态路由配置方法
                        如下表为采用静态路由配置方式的配置命令,其中只列出策略路由和静态路由的配置。       
                       
                                                 R1                                                                                         FW                                       
                                                                                                                                                         acl number 3000                                                
                                                                                                        rule 5 permit ip destination 192.168.0.2 0                                                
                                                                                                        policy-based-route in permit node 10                                                
                                                                                                         if-match acl 3000                                                
                                                                                                         apply ip-address next-hop 10.1.2.2                                                
                                                                                                        interface GigabitEthernet0/0/3                                                
                                                                                                         ip address 10.1.4.1 255.255.255.0                                                
                                                                                                         ip policy-based-route in                                                
ip route-static 10.10.10.0 255.255.255.0 10.1.4.2                                        
                                                 ip route-static 192.168.0.0 255.255.255.0 10.1.1.1                                        
       
                                

  •        
  •                
                            OSPF路由配置方法               

                        当接入用户网络较多时考虑使用此种配置方式,方便管理员维护。       
                       
       
                        【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-11        
                                
                        如下表为采用OSPF配置方式的配置命令,其中只列出策略路由和OSPF的配置。       
                       
                                                 R1                                                                                            LSW1                                                                                         FW                                        
                                                                                                                                                         acl number 3000                                                
                                                                                                         rule 5 permit ip destination 192.168.0.2 0                                                
                                                                                                        policy-based-route in permit node 10                                                
                                                                                                         if-match acl 3000                                                
                                                                                                         apply ip-address next-hop 10.1.2.2                                                
                                                                                                        interface GigabitEthernet0/0/3                                                
                                                                                                         ip address 10.1.4.1 255.255.255.0                                                
                                                                                                         ip policy-based-route in                                                
                                                                                                        ospf 1                                                
                                                                                                         area 0.0.0.0                                                
                                                                                                          network 10.1.1.0 0.0.0.255                                                
                                                                                                          network 10.1.3.0 0.0.0.255                                                
                                                                                                        ospf 2                                                
                                                                                                         area 0.0.0.0                                                
                                                                                                          network 10.1.4.0 0.0.0.255                                                
  network 10.1.2.0 0.0.0.255                                        
                                                                                                                                                         ospf 1                                                
                                                                                                         area 0.0.0.0                                                
                                                                                                          network 10.1.3.0 0.0.0.255                                                
                                                                                                          network 192.168.0.0 0.0.0.255                                                
                                                                                                          network 192.168.1.0 0.0.0.255                                                
                                                                                                          network 192.168.2.0 0.0.0.255                                                
                                       
                                                                                                                                                         ospf 1                                                
                                                                                                         import-route ospf 2                                                
                                                                                                         area 0.0.0.0                                                
                                                                                                          network 10.1.1.0 0.0.0.255                                                
                                                                                                        ospf 2                                                
                                                                                                         import-route ospf 1                                                
                                                                                                         area 0.0.0.0                                                
  network 10.1.2.0 0.0.0.255                                        
       
                                
                        通过OSPF回注的配置相对复杂一些,是使用OSPF双进程,双进程在R1上对上下行流量进行隔离,当流量通过策略路由引流到FW后,再在FW上通过OSPF两个进程互相引入,可以使OSPF两个进程中的路由能够互相学习到。       
                        R1上策略路由完成了流量的引流,FW上静态路由或OSPF完成了流量的回注。配置完成后,通过在外网PC(10.10.10.10)上Tracert内网Server的地址192.168.0.2,可以看到如下路线(以静态路由组网配置为例):【防火墙技术连载43】强叔侃墙 出口选路篇 策略路由选路——多样策略择重 ...-1308131-12        
                       
       
                        路径信息中显示,访问流量经过FW后,再回到R1,最后到目标Server,达到了预期访问效果。       
                        策略路由选路其实就是对符合匹配条件的流量进行选路,重新选定出接口和下一跳。这就要求管理员对网络现状有充分的了解,能根据网络现状选择合适的匹配条件。比如清楚的知道多条出口链路的优异,就能让企业重要客户或重要业务的流量从优先级高的链路进行转发。所以说灵活的应用策略路由,为管理员规划网络提供了更多的手段。       
                        至此,防火墙出口选路篇收官结束,也意味着本季的强叔侃墙将告一段落,感谢大家这么长时间的关注和支持!       
                                
                                
                        【上一篇 出口选路篇 就近选路――缺省路由有备无患,明细路由近路建功】       
                        【汇总贴】       
                                

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
weissyang
weissyang   发表于 2014-12-26 16:51:52 已赞(0) 赞(0)

请详解下5旁路组网下的策略路由选路

里的静态路由回注法可以么?FW通过策略路由将路由回注给R1后,R1再怎么选路?这不是路由回环了么?

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-12-26 17:59:35 已赞(0) 赞(0)

回复 13 楼

这样是没有问题的,从外网来的流量是R1的0/0/3口进来的,策略路由也是应用在这个接口上,所以从0/0/3接口来的流量会匹配策略路由,转到FW上。而出去的流量是从R1的0/0/0口上来的,0/0/0接口没有配置策略路由,这时候会查找路由表进行转发,会直接从R1到出去,而不会转到FW。

  • x
  • 常规:

点评 回复

wangbenlie
wangbenlie   发表于 2014-12-30 09:25:45 已赞(0) 赞(0)

感谢分享!
  • x
  • 常规:

点评 回复

qiai_yan
qiai_yan   发表于 2015-1-4 22:53:21 已赞(0) 赞(0)

 基于应用的策略路由 除了P2P能做到,主流的游戏能识别吗,这个很重要,还有这些东西在不断更新,防火墙的识别更新能跟上不?还有启用这个功能对防火墙的性能影响很大,(据说普通能处理20G的流量,开启应用的策略路由性能降60%左右,是不是真的?我想买台USG6600系列的,处理流出外网8G流量的应该选哪一款?强叔看到能联系下不13714689056@139.com QQ61998923

  • x
  • 常规:

点评 回复

weissyang
weissyang   发表于 2015-1-5 09:33:40 已赞(0) 赞(0)

引用 14 楼

这样是没有问题的,从外网来的流量是R1的0/0/3口进来的,策略路由也是应用在这个接口上,所以从0/0/3接口来的流量会匹配策略路由,转到FW上。而出去的流量是从R1的0/0/0口上来的,0/0/0接口没有配置策略路由,这时候会查找路由表进行转发,会直接从R1到出去,而不会转到FW。

强叔侃墙 发表于 2014-12-26 17:59


---------------

原来策略路由要应用到某个区域是有这个深意啊

那么以前的路由器做策略路由的时候没有这个关联到某接口,类似应用怎么实现?

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2015-2-7 11:38:54 已赞(0) 赞(0)

回复 17 楼

你说的这种应该是全局的策略路由,这种策略路由只针对本设备发出的流量进行重定向出接口或下一跳,应用的比较少。

  • x
  • 常规:

点评 回复

网络小强
网络小强  精英 发表于 2014-12-18 11:18:25 已赞(0) 赞(0)

顶强叔,全面总结了策略路由!

  • x
  • 常规:

点评 回复

Cai_n
Cai_n   发表于 2014-12-18 11:21:33 已赞(0) 赞(0)

学习加顶!

  • x
  • 常规:

点评 回复

Y_GH
Y_GH   发表于 2014-12-18 11:22:30 已赞(0) 赞(0)

策略路由非常常用,顶强叔的爆文!

豹纹?哈哈

  • x
  • 常规:

点评 回复

123
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录