第十二课 路由优化和网络带宽管理.pptVIP

工作任务14：利用防火墙进行网络路由优化及网络带宽管理 毛 颉 浙江工业职业技术学院计算机分院 mj_edu@163.com 学习目标 熟悉防火墙带宽管理及策略路由功能 掌握防火墙路由优化功能设置 掌握防火墙带宽管理配置方法 能根据要求，配置防火墙实现路由优化及带宽管理 学习情境1 学习情境1 某企业为解决跨网访问速度较慢的问题，企业网络通过防火墙对外连接了两个ISP （电信和网通） ，外网用户可以访问企业内网的一台服务器，为了达到网络的稳定畅通，公司希望电信和网通用户可以分别通过两个不同的公网地址来访问该服务器服务器；而且内网服务器回复报文遵循电信用户使用电信出口，网通用户使用网通出口的规则。为实现这一目标，防火墙应作如何配置？ 学习性任务1 为满足上述需求，可以通过设置防火墙策略路由来解决。 策略路由与静态路由都用于定义数据包转发规则，但基于策略的路由根据制定的策略灵活转发数据包。 学习性任务1 策略路由配置 1）在左侧导航菜单中选择 网络管理 路由， 点击“策略路由”页签，可以看到策略路由表。 2）点击“添加”，添加一条空的策略路由。 a）在“名称”处输入字符作为策略路由的唯一标识，不得与已有策略路由名相同，而且不得超过31个字符，否则会提示错误信息。 b）在“属性绑定”下方选择属性，将此策略绑定到一个属性上。 学习性任务1 根据绑定的属性不同，将策略路由分为三类： 接口相关的策略路由 当选择接口相关的属性时，由于接口和属性是一一对应的，因此将策略与属性绑定实现了策略与接口的绑定，从而使得不同的接口收到的数据包可以使用不同的路由策略。 全局的策略路由 当属性选择global时。任何接口收到的数据包都会查找全局的策略路由。 本机外出的策略路由： 当属性选择local时，表示为本机发出的数据报文匹配的策略路由（即源地址为防火墙上的接口地址）。 如果全局的策略路由和接口相关的策略路由定义相冲突，则全局策略路由的优先级低于接口相关的策略路由。 学习性任务1 参数说明 源地址：用来标识IP包的源地址或源网络。注意填写源地址转换前的IP及掩码，也就是真实的子网地址。 源掩码：源IP地址的掩码。与源地址一起来标识源主机或路由器所在的网段的地址。 学习性任务1 3）添加策略后，点击“路由条目”对应的图标，管理员可以向策略路由中添加新的策略路由条目。 4）策略路由条目管理。 点击策略路由左侧的三角形图标，可以查看其中的策略路由表，策略路由按照默认添加顺序显示。 注意：策略路由执行顺序匹配原则，即策略的顺序与策略的逻辑相关，用户应该根据网络实际情况及时调整策略路由的位置进而改变路由的执行顺序。 工作任务1 某企业网络通过防火墙连接了两个ISP（电信和网通），网络连接情况如图1。其中网通用户使用企业提供的地址：访问内部网络；电信用户使用企业提供的地址：访问内部网络。 需求1：电信和网通用户可以分别通过两个不同的公网地址来访问企业内网的一台服务器；而且内网服务器回复报文遵循电信用户使用电信出口，网通用户使用网通出口的规则。 需求2：电信和网通用户可以分别通过两个不同的公网地址（即两个接口地址）来对防火墙进行管理。 工作任务1 配置要点（需求1） 配置主机资源 配置目的地址转换策略 配置策略路由 配置要点（需求2） 配置策略路由 扩展训练 CLI配置 需求1 1）配置主机资源 #define host add name ipaddr #define host add name ipaddr #define host add name 22 ipaddr 22 2）配置目的地址转换策略 #nat policy add orig_src any orig_dst trans_dst 22 #nat policy add orig_src any orig_dst trans_dst 22 扩展训练 3）添加策略路由 ＃network route-policy add name a 4）绑定策略路由属性（global） ＃network route-policy global-bind set a 5）添加策略路由条目 ＃network route-policy add-entry name a src /24 gw masq-src on ＃network route-policy add-entry name a src /24 gw masq-src on 扩展训练 需求2： 1）添加策略路由 ＃network route-policy add name b 2）绑定策略路由属性（local） ＃network route-policy local-bind set b 3）添加策略路由条目 ＃network