首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

HCIPSecurity1.1多出口选路3(智能选路之全局与策略路由)

作者:你是幸福的真光 | 来源:互联网 | 2023-09-24 03:35
一,网络拓扑二,规划说明2.1IP地址规划设备接口安全区域IP地址FW1GE000Local192.168.0.1024GE100Local202.100.2.1024GE101

一,网络拓扑


二,规划说明

2.1IP地址规划













































































































































设备 接口安全区域IP地址
FW1GE0/0/0Local192.168.0.10/24
GE1/0/0Local202.100.2.10/24
GE1/0/1Local202.100.1.10/24
GE1/0/2Local10.1.1.10/24
GE1/0/3Local10.1.2.10/24
GE1/0/4Local10.1.3.10/24
GE1/0/5Local192.168.34.10/24
ISP1GE0/0/0untrust11.1.1.20/24
GE0/0/1untrust202.100.1.20/24
Loopback0untrust1.1.1.1/32
Loopback1untrust2.2.2.2/32
ISP2GE0/0/0untrust12.1.1.20/24
GE0/0/1untrust202.100.2.20/24
Loopback0untrust3.3.3.3/32
Loopback1untrust4.4.4/32
InternetGE0/0/0 untrust11.1.1.30/24 
GE0/0/1untrust12.1.1.30/24
GE0/0/2untrust 120.1.1.30/24
http_serverEthernet0/0/0untrust120.1.1.2/24
DMZ_ServerEthernet0/0/0dmz192.168.34.1/24
kali_linuxEthernet0/0/0trust10.1.1.128/24
RHELEthernet0/0/0trust10.1.2.2/24
PC2Ethernet0/0/0trust10.1.3.1/24
MGMT_PCEthernet0/0/0trust192.168.0.1/24

 2.2实验需求

  根据链路带宽负载分担是默认的智能选路方式。当企业从不同ISP处获得多条带宽不等的链路时,为了充分利用各链路的带宽,提高链路的利用率,可以选择此种选路方式。

这里所说的“带宽”是管理员在FW上为各个接口指定的带宽,一般来说,管理员需要根据实际链路带宽设置合理的带宽值。FW按照带宽比例将流量分配到各条链路上,所以带宽大的链路转发较多的流量,带宽小的链路转发较少的流量,所有链路都会被充分利用,不会有链路闲置的情况。


三,配置部分

3.1防火墙以外的配置


3.1.1 ISP1路由器

system-view
[Huawei]sysname ISP1
[ISP1]user-interface con 0
[ISP1-ui-console0]idle-timeout 0 0
[ISP1]interface GigabitEthernet 0/0/0
[ISP1-GigabitEthernet0/0/0]ip address 11.1.1.20 24
[ISP1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[ISP1-GigabitEthernet0/0/1]ip address 202.100.1.20 24
[ISP1-GigabitEthernet0/0/1]interface Loopback 0
[ISP1-LoopBack0]ip address 1.1.1.1 32
[ISP1-LoopBack0]interface Loopback 1
[ISP1-LoopBack1]ip address 2.2.2.2 32
[ISP1-LoopBack1]ip route-static 0.0.0.0 0 11.1.1.30

3.1.2ISP2路由器

system-view
[Huawei]sysname ISP2
[ISP2]user-interface con 0
[ISP2-ui-console0]idle-timeout 0 0
[ISP2-ui-console0]interface GigabitEthernet 0/0/0
[ISP2-GigabitEthernet0/0/0]ip address 12.1.1.20 24
[ISP2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[ISP2-GigabitEthernet0/0/1]ip address 202.100.2.20 24
[ISP2-GigabitEthernet0/0/1]interface Loopback 0
[ISP2-LoopBack0]ip address 3.3.3.3 32
[ISP2-LoopBack0]interface Loopback 1
[ISP2-LoopBack1]ip address 4.4.4.4 32
[ISP2-LoopBack1]ip route-static 0.0.0.0 0 12.1.1.30

3.1.3Internet路由器

system-view
[Huawei]sysname Internet
[Internet]user-interface con 0
[Internet-ui-console0]idle-timeout 0 0
[Internet-ui-console0]interface GigabitEthernet 0/0/0
[Internet-GigabitEthernet0/0/0]ip address 11.1.1.30 24
[Internet-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[Internet-GigabitEthernet0/0/1]ip address 12.1.1.30 24
[Internet-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[Internet-GigabitEthernet0/0/2]ip address 120.1.1.30 24
[Internet-GigabitEthernet0/0/2]ip address 120.1.1.30 24
[Internet-GigabitEthernet0/0/2]ip route-static 202.100.1.0 24 11.1.1.20
[Internet]ip route-static 1.1.1.1 32 11.1.1.20
[Internet]ip route-static 2.2.2.2 32 11.1.1.20
[Internet]ip route-static 202.100.2.0 24 12.1.1.20
[Internet]ip route-static 3.3.3.3 32 12.1.1.20
[Internet]ip route-static 4.4.4.4 32 12.1.1.20

3.1.4 Http Server

  Http Server是使用ENSP桥接的一台vmware workstation的一台虚机,简单的配置了http。

 

 


 3.1.5MGMT_PC

  MGPT_PC是ENSP桥接到我本地的物理机,可以通过浏览器进行图形化管理FW1。

 


 3.1.6 内网测试主机

①kali_linux

②RHEL


 3.2 防火墙配置


3.2.1接口地址以及安全区域

system-view
[USG6000V1]sysname FW1
[FW1]user-interface con 0
[FW1-ui-console0]idle-timeout 0 0
[FW1-ui-console0]interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0]ip address 192.168.0.10 24
[FW1-GigabitEthernet0/0/0]service-manage http permit
[FW1-GigabitEthernet0/0/0]service-manage https permit
[FW1-GigabitEthernet0/0/0]service-manage ping permit
[FW1-GigabitEthernet0/0/0]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 202.100.2.10 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit
[FW1-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 202.100.1.10 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 10.1.1.10 24
[FW1-GigabitEthernet1/0/2]service-manage ping permit
[FW1-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]ip address 10.1.2.10 24
[FW1-GigabitEthernet1/0/3]service-manage ping permit
[FW1-GigabitEthernet1/0/3]interface GigabitEthernet 1/0/4
[FW1-GigabitEthernet1/0/4]ip address 10.1.3.10 24
[FW1-GigabitEthernet1/0/4]service-manage ping permit
[FW1-GigabitEthernet1/0/4]interface GigabitEthernet 1/0/5
[FW1-GigabitEthernet1/0/5]ip address 192.168.34.10 24
[FW1-GigabitEthernet1/0/5]service-manage ping permit
[FW1-GigabitEthernet1/0/5]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 0/0/0
[FW1-zone-trust]add interface GigabitEthernet 1/0/2
[FW1-zone-trust]add interface GigabitEthernet 1/0/3
[FW1-zone-trust]add interface GigabitEthernet 1/0/4
[FW1-zone-trust]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/5
[FW1-zone-dmz]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/0
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1

3.2.2 智能选路配置

1.配置接口带宽值

①CLI

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]gateway 202.100.1.20
[FW1-GigabitEthernet1/0/1]bandwidth ingress 1000 threshold 80
[FW1-GigabitEthernet1/0/1]bandwidth egress 1000 threshold 80

②GUI

 2.配置健康检查

[FW1]healthcheck enable
[FW1]healthcheck name isp1
[FW1-healthcheck-isp1]destination 202.100.1.20 interface GigabitEthernet 1/0/1 protocol icmp
[FW1]healthcheck name isp2
[FW1-healthcheck-isp2]destination 202.100.2.20 interface GigabitEthernet 1/0/0 protocol icmp

3.创建链路接口调用健康检查

①CLI

[FW1]link-interface 0 name isp1
[FW1-linkif-0]interface GigabitEthernet 1/0/1 next-hop 202.100.1.20
[FW1-linkif-0]healthcheck isp1

②GUI

 

 

 4.配置策略路由智能选路

①CLI

[FW1]policy-based-route
[FW1-policy-pbr]rule name bandwidth
[FW1-policy-pbr-rule-isp1]source-zone trust
[FW1-policy-pbr-rule-isp1]action pbr multi-linkif
[FW1-policy-pbr-rule-isp1-multi-linkif]mode proportion-of-bandwidth
[FW1-policy-pbr-rule-isp1-multi-linkif]add linkif isp1
[FW1-policy-pbr-rule-isp1-multi-linkif]add linkif isp2

②GUI

 

 

 

 

 

 5.配置全局智能选路

注:先删除策略路由智能选路

①CLI

[FW1]multi-linkif
[FW1-multi-linkif] mode proportion-of-bandwidth
[FW1-multi-linkif] add linkif isp1
[FW1-multi-linkif] add linkif isp2

②GUI

 

 


3.2.3 安全策略

[FW1]ip address-set pc type object
[FW1-object-address-set-pc]address 10.1.1.0 mask 24
[FW1-object-address-set-pc]address 10.1.2.0 mask 24
[FW1-object-address-set-pc]address 10.1.3.0 mask 24
[FW1]security-policy
[FW1-policy-security]rule name trust_untrust
[FW1-policy-security-rule-trust_untrust]source-zone trust
[FW1-policy-security-rule-trust_untrust]destination-zone untrust
[FW1-policy-security-rule-trust_untrust]source-address address-set pc
[FW1-policy-security-rule-trust_untrust]action permit

3.2.4  源NAT

[FW1]nat-policy
[FW1-policy-nat]rule name easy-ip
[FW1-policy-nat-rule-easy-ip]source-zone trust
[FW1-policy-nat-rule-easy-ip]destination-zone untrust
[FW1-policy-nat-rule-easy-ip]source-address address-set pc
[FW1-policy-nat-rule-easy-ip]action source-nat easy-ip

 


 四,测试效果

1.使用两台测试机,访问http,看视频和下载文件应该会有大流量的现象吧?

 

 

 

 

 

 

 

 

 

 2.查看防火墙全局选路的状态,现象虽然不是很明显但也差不多。根据流量负载分担。根据Hedex文档上解释为:

FW是根据各接口指定带宽的比例来分流的,而不是根据流量的实时流速。所以实际上各接口链路上分配的流量比例很难和设置的带宽比例一致,总是会有波动。

比如有3条接口链路,带宽比例设置为2:1:1,此时有4条流量,FW分别将这4条流量按照2:1:1分配到这3条接口链路上,即接口1分了2条流,接口2和3各分了1条流。但每条流的流速不一样,所以此时接口上转发的流量大小比例并不是2:1:1。

3.查看会话表,分别走两个出接口

 

 

 

 4.这个现象在模拟器上表现的不是很明显,但是意思差不多是这样哈哈! XD



推荐阅读
  • php

    Windows操作系统的版本介绍及特点

    本文介绍了Windows操作系统的版本及其特点,包括Windows 7系统的6个版本:Starter、Home Basic、Home Premium、Professional、Enterprise、Ultimate。Windows操作系统是微软公司研发的一套操作系统,具有人机操作性优异、支持的应用软件较多、对硬件支持良好等优点。Windows 7 Starter是功能最少的版本,缺乏Aero特效功能,没有64位支持,最初设计不能同时运行三个以上应用程序。 ... [详细]
  • main

    引擎之旅 Chapter.2 线程库

    预备知识可参考我整理的博客Windows编程之线程:https:www.cnblogs.comZhuSenlinp16662075.htmlWindows编程之线程同步:https ... [详细]
  • main

    数据库的存储结构及其重要性

    本文介绍了数据库的存储结构及其重要性,强调了关系数据库范例中将逻辑存储与物理存储分开的必要性。通过逻辑结构和物理结构的分离,可以实现对物理存储的重新组织和数据库的迁移,而应用程序不会察觉到任何更改。文章还展示了Oracle数据库的逻辑结构和物理结构,并介绍了表空间的概念和作用。 ... [详细]
  • main

    Centos7.6安装Gitlab教程及注意事项

    Centos7.6安装Gitlab教程及注意事项
    本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]
  • php

    Metasploit攻击渗透实践

    Metasploit攻击渗透实践
    本文介绍了Metasploit攻击渗透实践的内容和要求,包括主动攻击、针对浏览器和客户端的攻击,以及成功应用辅助模块的实践过程。其中涉及使用Hydra在不知道密码的情况下攻击metsploit2靶机获取密码,以及攻击浏览器中的tomcat服务的具体步骤。同时还讲解了爆破密码的方法和设置攻击目标主机的相关参数。 ... [详细]
  • php

    Oracle中tnsnames.ora的作用和配置方法

    本文介绍了Oracle数据库中tnsnames.ora文件的作用和配置方法。tnsnames.ora文件在数据库启动过程中会被读取,用于解析LOCAL_LISTENER,并且与侦听无关。文章还提供了配置LOCAL_LISTENER和1522端口的示例,并展示了listener.ora文件的内容。 ... [详细]
  • php

    如何查询zone下的表的信息

    如何查询zone下的表的信息
    本文介绍了如何通过TcaplusDB知识库查询zone下的表的信息。包括请求地址、GET请求参数说明、返回参数说明等内容。通过curl方法发起请求,并提供了请求示例。 ... [详细]
  • php

    MySQL数据库锁机制及其应用(数据库锁的概念)

    MySQL数据库锁机制及其应用(数据库锁的概念)
    本文介绍了MySQL数据库锁机制及其应用。数据库锁是计算机协调多个进程或线程并发访问某一资源的机制,在数据库中,数据是一种供许多用户共享的资源,如何保证数据并发访问的一致性和有效性是数据库必须解决的问题。MySQL的锁机制相对简单,不同的存储引擎支持不同的锁机制,主要包括表级锁、行级锁和页面锁。本文详细介绍了MySQL表级锁的锁模式和特点,以及行级锁和页面锁的特点和应用场景。同时还讨论了锁冲突对数据库并发访问性能的影响。 ... [详细]
  • php

    C#学习教程:在Console中工作但在Windows窗体中不工作的异步代码分享

    本文分享了一个关于在C#中使用异步代码的问题,作者在控制台中运行时代码正常工作,但在Windows窗体中却无法正常工作。作者尝试搜索局域网上的主机,但在窗体中计数器没有减少。文章提供了相关的代码和解决思路。 ... [详细]
  • php

    Java序列化对象传给PHP的方法及原理解析

    Java序列化对象传给PHP的方法及原理解析
    本文介绍了Java序列化对象传给PHP的方法及原理,包括Java对象传递的方式、序列化的方式、PHP中的序列化用法介绍、Java是否能反序列化PHP的数据、Java序列化的原理以及解决Java序列化中的问题。同时还解释了序列化的概念和作用,以及代码执行序列化所需要的权限。最后指出,序列化会将对象实例的所有字段都进行序列化,使得数据能够被表示为实例的序列化数据,但只有能够解释该格式的代码才能够确定数据的内容。 ... [详细]
  • php

    Android中高级面试必知必会,积累总结

    Android中高级面试必知必会,积累总结
    本文介绍了Android中高级面试的必知必会内容,并总结了相关经验。文章指出,如今的Android市场对开发人员的要求更高,需要更专业的人才。同时,文章还给出了针对Android岗位的职责和要求,并提供了简历突出的建议。 ... [详细]
  • js

    如何限制php数据库链接数和连接超时时间?

    本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目,以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数,以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ... [详细]
  • js

    如何使用Java获取服务器硬件信息和磁盘负载率

    如何使用Java获取服务器硬件信息和磁盘负载率
    本文介绍了使用Java编程语言获取服务器硬件信息和磁盘负载率的方法。首先在远程服务器上搭建一个支持服务端语言的HTTP服务,并获取服务器的磁盘信息,并将结果输出。然后在本地使用JS编写一个AJAX脚本,远程请求服务端的程序,得到结果并展示给用户。其中还介绍了如何提取硬盘序列号的方法。 ... [详细]
  • js

    Windows下配置PHP5.6的方法及注意事项

    Windows下配置PHP5.6的方法及注意事项
    本文介绍了在Windows系统下配置PHP5.6的步骤及注意事项,包括下载PHP5.6、解压并配置IIS、添加模块映射、测试等。同时提供了一些常见问题的解决方法,如下载缺失的msvcr110.dll文件等。通过本文的指导,读者可以轻松地在Windows系统下配置PHP5.6,并解决一些常见的配置问题。 ... [详细]
  • web

    Webmin远程命令执行漏洞复现及防护方法

    Webmin远程命令执行漏洞复现及防护方法
    本文介绍了Webmin远程命令执行漏洞CVE-2019-15107的漏洞详情和复现方法,同时提供了防护方法。漏洞存在于Webmin的找回密码页面中,攻击者无需权限即可注入命令并执行任意系统命令。文章还提供了相关参考链接和搭建靶场的步骤。此外,还指出了参考链接中的数据包不准确的问题,并解释了漏洞触发的条件。最后,给出了防护方法以避免受到该漏洞的攻击。 ... [详细]
author-avatar
你是幸福的真光
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有