ISP選路

ISP選路功能也稱為運(yùn)營(yíng)商地址庫(kù)選路功能，當(dāng)FW作為出口網(wǎng)關(guān)設(shè)備連接多個(gè)ISP網(wǎng)絡(luò)時(shí)，通過(guò)ISP選路功能可以使訪問(wèn)特定ISP網(wǎng)絡(luò)的流量從相應(yīng)出接口轉(zhuǎn)發(fā)，保證流量轉(zhuǎn)發(fā)使用最短路徑，提高轉(zhuǎn)發(fā)效率。

如下圖所示，F(xiàn)W擁有兩條屬于不同ISP網(wǎng)絡(luò)的出口鏈路。當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)ISP2中的Server2時(shí)，如果FW上存在等價(jià)路由，則FW可以通過(guò)路徑1和路徑2兩條不同的路徑到達(dá)Server2。其中，路徑2顯然不是最優(yōu)路徑，路徑1才是用戶所期望的路徑。

配置ISP選路功能后，當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)Server1或Server2時(shí)，F(xiàn)W會(huì)根據(jù)目的地址所在ISP網(wǎng)絡(luò)選擇相應(yīng)的出接口，從而使訪問(wèn)流量通過(guò)最短路徑到達(dá)服務(wù)器。

ISP選路的原理

ISP選路是基于ISP路由的選路方式，通過(guò)批量生成到運(yùn)營(yíng)商網(wǎng)絡(luò)的ISP路由實(shí)現(xiàn)訪問(wèn)特定ISP網(wǎng)絡(luò)的報(bào)文都從相應(yīng)的出接口轉(zhuǎn)發(fā)。

ISP選路可以單獨(dú)使用，也可以結(jié)合其他智能選路功能一起使用，具體的

使用場(chǎng)景分類如表1所示：

表1 ISP選路場(chǎng)景分類

ISP選路功能可以配合健康檢查功能一起使用，保證流量不被轉(zhuǎn)發(fā)到故障鏈路上。當(dāng)健康檢查的結(jié)果顯示鏈路故障時(shí)，對(duì)應(yīng)的ISP路由表項(xiàng)將被刪除，所以流量不會(huì)命中該條路由，也就避免被轉(zhuǎn)發(fā)到故障鏈路上。當(dāng)鏈路狀態(tài)恢復(fù)正常時(shí)，對(duì)應(yīng)的ISP路由表項(xiàng)將重新生成，流量即可按此路由進(jìn)行轉(zhuǎn)發(fā)。

DNS透明代理

一般來(lái)講，企業(yè)內(nèi)網(wǎng)用戶的客戶端都會(huì)配置一個(gè)相同的DNS服務(wù)器地址，而DNS服務(wù)器通常會(huì)將域名解析成自己所在ISP內(nèi)的Web服務(wù)器地址，這將導(dǎo)致內(nèi)網(wǎng)用戶的上網(wǎng)流量都集中在一個(gè)ISP的鏈路上轉(zhuǎn)發(fā)，最終可能會(huì)造成鏈路擁塞，影響用戶的上網(wǎng)體驗(yàn)。同時(shí)，由于其他ISP的鏈路資源沒(méi)有被使用，也造成了資源的浪費(fèi)。

為了解決上述問(wèn)題，可以使用DNS透明代理功能。對(duì)于命中DNS透明代理策略的DNS請(qǐng)求報(bào)文，F(xiàn)W會(huì)根據(jù)DNS請(qǐng)求報(bào)文選擇的出接口，修改請(qǐng)求報(bào)文的目的地址（DNS服務(wù)器地址），即將其修改為其他ISP內(nèi)的DNS服務(wù)器地址，DNS請(qǐng)求被轉(zhuǎn)發(fā)到不同的ISP，解析后的Web服務(wù)器地址也就屬于不同的ISP，所以上網(wǎng)流量將通過(guò)不同的ISP鏈路轉(zhuǎn)發(fā)，充分利用了所有鏈路資源。

DNS透明代理策略

管理員通過(guò)DNS透明代理策略來(lái)定義哪些DNS請(qǐng)求報(bào)文需要做DNS透明代理。DNS透明代理策略的具體規(guī)則如下：

• 匹配條件只有DNS請(qǐng)求報(bào)文的源地址和目的地址，且均為可選，如果不選，默認(rèn)為any，表示該DNS透明代理策略與任意DNS請(qǐng)求報(bào)文匹配，并執(zhí)行配置的動(dòng)作。
• 各個(gè)匹配條件之間是“與”的關(guān)系，只有報(bào)文的屬性與各個(gè)條件必須全部匹配，才認(rèn)為該報(bào)文匹配這條規(guī)則。
• 一個(gè)匹配條件中如果可以配置多個(gè)值，多個(gè)值之間是“或”的關(guān)系，報(bào)文的屬性只要匹配任意一個(gè)值，就認(rèn)為報(bào)文的屬性匹配了這個(gè)條件。
• FW存在多條DNS透明代理策略時(shí)，DNS請(qǐng)求報(bào)文將按照策略的配置順序依次進(jìn)行匹配。
• 只要匹配到其中一條策略，就按照此策略的動(dòng)作進(jìn)行處理，不再繼續(xù)匹配剩余的其他策略。

此外，系統(tǒng)默認(rèn)存在一條缺省DNS透明代理策略default，default位于策略列表的最底部，優(yōu)先級(jí)最低，所有匹配條件均為any，動(dòng)作為不代理。如果所有配置的策略都未匹配，則將匹配缺省DNS透明代理策略。

DNS透明代理處理流程

當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)某個(gè)域名時(shí)，DNS透明代理功能處理報(bào)文的流程如下圖所示。

處理流程的詳細(xì)說(shuō)明如下：

1.DNS請(qǐng)求報(bào)文命中DNS透明代理策略后，對(duì)于需要做DNS透明代理的報(bào)文，F(xiàn)W首先判斷待解析的域名是否為排除域名。

1. 如果是排除域名，F(xiàn)W就不會(huì)做DNS透明代理；
2. 如果不是排除域名，F(xiàn)W會(huì)為報(bào)文做一個(gè)DNS透明代理標(biāo)記，此標(biāo)記用于后續(xù)流程的判斷。
3. 對(duì)于排除域名，如果需要更換DNS服務(wù)器來(lái)解析該域名，則FW會(huì)將DNS請(qǐng)求報(bào)文的目的地址修改為指定DNS服務(wù)器的地址。

2.DNS請(qǐng)求報(bào)文根據(jù)智能選路或者普通靜態(tài)/動(dòng)態(tài)路由選路選擇出接口。

說(shuō)明：

DNS請(qǐng)求報(bào)文使用以下幾種方法進(jìn)行選路：

• DNS透明代理自身配置的智能選路方式
• 策略路由智能選路或全局選路策略
• 普通靜態(tài)/動(dòng)態(tài)路由選路

優(yōu)先級(jí)關(guān)系為：DNS透明代理自身配置的智能選路方式> 策略路由智能選路 > 全局選路策略 > 普通靜態(tài)/動(dòng)態(tài)路由選路。

3.當(dāng)出接口上綁定了DNS服務(wù)器，且報(bào)文有DNS透明代理標(biāo)記時(shí)，F(xiàn)W才會(huì)做DNS透明代理。兩個(gè)條件中有一個(gè)不滿足時(shí)，F(xiàn)W都不會(huì)做DNS透明代理

說(shuō)明：

FW在每個(gè)出接口上最多綁定2個(gè)DNS服務(wù)器，一個(gè)為首選DNS服務(wù)器，一個(gè)為備用DNS服務(wù)器，它們都屬于該出接口直連的ISP網(wǎng)絡(luò)。

當(dāng)FW決定DNS請(qǐng)求報(bào)文的出接口后，DNS透明代理功能優(yōu)先使用首選DNS服務(wù)器的地址替換DNS請(qǐng)求報(bào)文的目的地址，只有當(dāng)首選DNS服務(wù)器的狀態(tài)為DOWN時(shí)，才使用備用DNS服務(wù)器的地址進(jìn)行替換。

通過(guò)在DNS透明代理中配置健康檢查，可以判斷出接口上綁定的DNS服務(wù)器是否可用，如果首選DNS服務(wù)器和備用DNS服務(wù)器都不可用，則DNS透明代理不生效。

下面以下圖為例對(duì)DNS透明代理過(guò)程進(jìn)行舉例說(shuō)明。

1. 當(dāng)DNS請(qǐng)求報(bào)文到達(dá)FW時(shí)，F(xiàn)W首先進(jìn)行DNS透明代理策略的匹配。
2. 報(bào)文命中DNS透明代理策略后，F(xiàn)W根據(jù)路由查詢結(jié)果選擇一個(gè)出接口。
3. FW使用出接口上綁定的DNS服務(wù)器地址替換DNS請(qǐng)求報(bào)文的目的地址。
4. DNS服務(wù)器將解析后的Web服務(wù)器地址返給用戶，此Web服務(wù)器和DNS服務(wù)器屬于同一個(gè)ISP網(wǎng)絡(luò)。
5. 用戶根據(jù)返回的地址訪問(wèn)Web服務(wù)器。此時(shí)需要結(jié)合ISP選路（基于ISP路由的選路）功能，使用戶能夠通過(guò)Web服務(wù)器所屬的ISP網(wǎng)絡(luò)進(jìn)行訪問(wèn)，防止發(fā)生跨ISP網(wǎng)絡(luò)訪問(wèn)的情況。

配置舉例

如下圖所示，企業(yè)分別從ISP1和ISP2租用了一條鏈路，ISP1鏈路的帶寬為100M，ISP2鏈路的帶寬為50M。ISP1的DNS服務(wù)器地址為8.8.8.8和8.8.8.9，ISP2的DNS服務(wù)器地址為9.9.9.8和9.9.9.9。內(nèi)網(wǎng)用戶客戶端的DNS服務(wù)器地址均設(shè)置為10.2.0.70。

• 企業(yè)希望10.3.0.0/24網(wǎng)段內(nèi)網(wǎng)用戶的上網(wǎng)流量按照2:1的比例分配到ISP1和ISP2鏈路，保證各條鏈路得到充分利用且不會(huì)發(fā)生擁塞，提升內(nèi)網(wǎng)用戶的上網(wǎng)體驗(yàn)。
• 內(nèi)網(wǎng)用戶訪問(wèn)域名www.example.com時(shí)，不做DNS透明代理，但是要在指定的DNS服務(wù)器（8.8.8.10）上解析該域名對(duì)應(yīng)的Web服務(wù)器地址。
• 當(dāng)一條ISP鏈路過(guò)載（閾值為90%）時(shí)，可以使用另一條ISP鏈路進(jìn)行流量轉(zhuǎn)發(fā)。

配置思路

由于企業(yè)希望上網(wǎng)流量能夠根據(jù)帶寬比例（2：1）進(jìn)行分配，所以智能選路的方式設(shè)置為根據(jù)鏈路帶寬負(fù)載分擔(dān)的全局選路策略。通過(guò)在FW上配置DNS透明代理功能，可以使內(nèi)網(wǎng)用戶的DNS請(qǐng)求報(bào)文按照2:1的比例分配到ISP1與ISP2的DNS服務(wù)器上。

為了保證上網(wǎng)流量不會(huì)繞道其他ISP，而是直接通過(guò)目的地址所在ISP網(wǎng)絡(luò)到達(dá)Web服務(wù)器，需要配置ISP選路功能。

1. 可選：配置健康檢查功能，分別為ISP1和ISP2鏈路配置健康檢查。
2. 配置接口的IP地址、安全區(qū)域、網(wǎng)關(guān)地址、帶寬和過(guò)載保護(hù)閾值，并在接口上應(yīng)用健康檢查。
3. 配置ISP選路功能。制作isp1.csv和isp2.csv兩個(gè)ISP地址文件，并上傳到FW上。
4. 配置DNS透明代理功能。在出接口上綁定DNS服務(wù)器地址，配置DNS透明代理策略來(lái)指定做DNS透明代理的流量，并配置要排除的域名。
5. 配置全局選路策略。配置智能選路方式為根據(jù)鏈路帶寬負(fù)載分擔(dān)，并指定FW和ISP1、ISP2網(wǎng)絡(luò)直連的出接口作為智能選路成員接口。
6. 配置基本的安全策略，允許企業(yè)內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)資源。

操作步驟

1.配置ISP1和ISP2鏈路的健康檢查功能。

選擇“對(duì)象> 健康檢查”，在“健康檢查列表”區(qū)域單擊“新建”，完成下圖配置。

說(shuō)明：

DNS透明代理功能和智能選路一起配合使用且需要同時(shí)啟用DNS透明代理的健康檢查和智能選路接口下的健康檢查時(shí)，智能選路接口下的健康檢查探測(cè)目的地址需要配置為接口綁定的DNS服務(wù)器地址，探測(cè)協(xié)議配置為DNS，以確保兩處健康檢查結(jié)果一致，接口鏈路在正常狀態(tài)下可以始終支持DNS代理，避免因?yàn)镈NS請(qǐng)求失敗導(dǎo)致業(yè)務(wù)訪問(wèn)失敗。

2.配置接口的IP地址和網(wǎng)關(guān)地址，以及接口所在鏈路的帶寬和過(guò)載保護(hù)閾值，并應(yīng)用對(duì)應(yīng)的健康檢查。

選擇“網(wǎng)絡(luò)> 接口”，單擊待配置的接口所在行的，并做如下配置。

3.配置DNS透明代理。

a. 選擇“網(wǎng)絡(luò) > DNS > DNS”，單擊“DNS透明代理”頁(yè)簽，并做如下配置。

接口綁定DNS服務(wù)器時(shí)，啟用“健康檢查”。

b. 單擊“應(yīng)用”。

c. 配置內(nèi)網(wǎng)用戶訪問(wèn)域名www.example.com時(shí)，不做DNS透明代理，但是要在指定的DNS服務(wù)器（8.8.8.10）上解析該域名對(duì)應(yīng)的Web服務(wù)器地址。

d. 配置DNS透明代理策略。

4.配置ISP選路。

a. 選擇“網(wǎng)絡(luò) > 路由 > 智能選路”，單擊“運(yùn)營(yíng)商地址庫(kù)”頁(yè)簽，上傳ISP地址文件到FW。

b. 選擇“網(wǎng)絡(luò) > 路由 > ISP路由”，單擊“新建”頁(yè)簽，配置ISP選路。

5.配置全局選路策略，流量根據(jù)鏈路帶寬負(fù)載分擔(dān)。并將GigabitEthernet 0/0/1和GigabitEthernet 0/0/5加入出接口列表。

選擇“網(wǎng)絡(luò)> 路由 > 智能選路”，在“全局選路策略列表”區(qū)域，單擊“配置”。

6.配置安全策略。

a. 選擇“策略 > 安全策略 > 安全策略”。

b. 單擊“新建安全策略”，按如下參數(shù)配置從trust到untrust方向的安全策略，允許業(yè)務(wù)報(bào)文通過(guò)。配置完成后單擊“確定”。

好了，這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里，如果大家網(wǎng)絡(luò)推廣引流創(chuàng)業(yè)感興趣，可以添加微信：80709525  備注：發(fā)貨聯(lián)盟引流學(xué)習(xí)； 我拉你進(jìn)直播課程學(xué)習(xí)群，每周135晚上都是有實(shí)戰(zhàn)干貨的推廣引流技術(shù)課程免費(fèi)分享！