香港某大学防火墙课件线路状态侦测.pptVIP

Branch Office 何時要關閉 IP-VPN Link ? (1/2) Router A 54 53 常見的線路 IP VPN 線路 1 Router A 54 53 Router B 54 51 Router C 因為是使用私有位址，所以只會偵測到 Gateway 是否有通 2 長途專線 何時要關閉 IP-VPN Link ? (2/2) Router B 54 53 Router C 54 54 Firewall 53 台灣學術網路 在防火牆後面 3 4 實際上的都是可連線到 Internet 的線路，因此要關閉 IP-VPN Link 的選項。 偵測相同線路 (1/2) 1. [網路介面] : eth0 與 eth1:1 是同一張網路介面，使用同一網段的 IP 位址，且設定相同的閘道器，因此應該算是同一條實體線路。 2. [Outbound 政策] ： 這種設定方式就是要使用 IP-Pool 觀念，同時使用 93 及 21 的 IP 來進行來源位址 NAT 轉換 偵測相同線路 (2/2) [偵測相同線路] ? 關閉: 只會偵測其中一條線路 [偵測相同線路] ? 開啟: 會同時偵測兩條線路 參數設定 –其他參數 路徑偵測法要偵測到多遠的節點 ? 節點偵測法要偵測多少個參考點 ? 各種偵測法的 timeout 值 [路徑偵測法] 的節點數算法 偵測節點數: 5 點 不包括第一個路由器 [節點偵測法] 的節點數算法 偵測節點數: 8 點 * * 網際網路的架構是由一群路由器所組成的，而路由器是由不同 ISP 各自維護。 ISP 之間會由骨幹網路相互連接，由於 ISP 之間的流量非常大，因此交換骨幹常常會壅塞，成為瓶頸。 對 線路偵測機制 來言，所遭遇的問題有兩個 第一點： “何謂對外線路” ，有可能 使用者家中終端路由設備到 ISP 機房的線路 ISP 所屬的路由器群間的網路 ISP 到鄰近 ISP 之間的網路 ISP 到 Internet 上任何的公有節點 第二點： 如何確定線路狀態及品質 ？ * 由於 PowerStation 通常是佈署在末端網路，為 Edge Router， 一般 ISP 路由器是不會跟 PowerStation 交換路由資訊。 因此對 PowerStation 而言，只能得知相鄰路由器的位址，及本機網路介面到相鄰路由器之間的網路連接狀態。 至於相鄰路由器後端的網路狀態，是無法知道的，必須使用某些機制一一找出來。 * PowerStation 線路偵測方式: 節點偵測法: 主要是以使用者的觀點來執行線路偵測，PowerStation 會找出一個或多個網路節點當作線路偵測的偵測節點, 以本機到該網路節點的連線情況,來代表對外線路的整體狀態。如 PowerStation 送出偵測封包到 [偵測節點] ? [偵測節點] 有回應 ? 線路正常 PowerStation 送出偵測封包到 [偵測節點] ? [偵測節點] 無回應 ? 線路有正常 2. 路徑偵測法: 主要是節點偵測法發現到遠端節點的網路有問題，而想辦法找出是否為鄰近節點的問題。 [節點偵測法] 會找出一個或多個網路節點當作線路偵測的偵測節點, 以本機到該網路節點的連線情況,來代表對外線路的整體狀態。 [節點偵測法] 要考慮的問題為 如何選擇偵測節點的位址 : [節點偵測法] 無法判斷偵測節點本身有問題，或是從本機到偵測節點間的網路有問題，因此偵測節點的選擇一定要選擇常常不容易出差錯的主機。 如何決定偵測節點的數目: 節點偵測所選的節點數的多寡, 會影響的是偵測的準確性、偵測時對系統的負載大小和偵測時對線路的負載大小。若選擇的偵測節點數越多, 誤判率較低但會系統的負載較高,對線路的負載也會較高 如何決定偵測此節點所使用的協定: [節點偵測法] 要送出那種封包到偵測節點才不會被中間路由器或是偵測節點本身封鎖呢 ? 節點偵測所選的偵測節點: 若偵測時所選用的協定為 ICMP 時 , 節點的選擇通常是上層的 DNS 主機 若偵測時所選用的協定為 HTTP 時 , 節點的選擇通常是國外大廠的 Web 主機 * * [路徑偵測法] 藉由選擇遠端參考節點會找出至該遠端參考節點路徑上之鄰近網路節點，以本機到這些鄰近節點之連線情況，來代表對外線路的整體狀態 [路徑偵測法] 要考慮的問題為 要偵錯多少節點 : [路徑偵測法] 可依據回應的情況判斷偵測節點本身有問題，或是從本機到偵測節點間的網路有問題，但所選的節點數的多寡, 會影響的是偵測的準確性、偵測時對系統的負載大小和偵測時對線路的負載大小。若選擇的偵測節點數越多, 誤判率較低但會系統的負載較高,對線路的負載也會較高 如何決定偵測此節點所使用的協