ISP選路

ISP選路功能也稱為運營商地址庫選路功能，當FW作為出口網(wǎng)關(guān)設備連接多個ISP網(wǎng)絡時，通過ISP選路功能可以使訪問特定ISP網(wǎng)絡的流量從相應出接口轉(zhuǎn)發(fā)，保證流量轉(zhuǎn)發(fā)使用最短路徑，提高轉(zhuǎn)發(fā)效率。

如下圖所示，F(xiàn)W擁有兩條屬于不同ISP網(wǎng)絡的出口鏈路。當內(nèi)網(wǎng)用戶訪問ISP2中的Server2時，如果FW上存在等價路由，則FW可以通過路徑1和路徑2兩條不同的路徑到達Server2。其中，路徑2顯然不是最優(yōu)路徑，路徑1才是用戶所期望的路徑。

配置ISP選路功能后，當內(nèi)網(wǎng)用戶訪問Server1或Server2時，F(xiàn)W會根據(jù)目的地址所在ISP網(wǎng)絡選擇相應的出接口，從而使訪問流量通過最短路徑到達服務器。

ISP選路的原理

ISP選路是基于ISP路由的選路方式，通過批量生成到運營商網(wǎng)絡的ISP路由實現(xiàn)訪問特定ISP網(wǎng)絡的報文都從相應的出接口轉(zhuǎn)發(fā)。

ISP選路可以單獨使用，也可以結(jié)合其他智能選路功能一起使用，具體的

使用場景分類如表1所示：

表1 ISP選路場景分類

ISP選路功能可以配合健康檢查功能一起使用，保證流量不被轉(zhuǎn)發(fā)到故障鏈路上。當健康檢查的結(jié)果顯示鏈路故障時，對應的ISP路由表項將被刪除，所以流量不會命中該條路由，也就避免被轉(zhuǎn)發(fā)到故障鏈路上。當鏈路狀態(tài)恢復正常時，對應的ISP路由表項將重新生成，流量即可按此路由進行轉(zhuǎn)發(fā)。

DNS透明代理

一般來講，企業(yè)內(nèi)網(wǎng)用戶的客戶端都會配置一個相同的DNS服務器地址，而DNS服務器通常會將域名解析成自己所在ISP內(nèi)的Web服務器地址，這將導致內(nèi)網(wǎng)用戶的上網(wǎng)流量都集中在一個ISP的鏈路上轉(zhuǎn)發(fā)，最終可能會造成鏈路擁塞，影響用戶的上網(wǎng)體驗。同時，由于其他ISP的鏈路資源沒有被使用，也造成了資源的浪費。

為了解決上述問題，可以使用DNS透明代理功能。對于命中DNS透明代理策略的DNS請求報文，F(xiàn)W會根據(jù)DNS請求報文選擇的出接口，修改請求報文的目的地址（DNS服務器地址），即將其修改為其他ISP內(nèi)的DNS服務器地址，DNS請求被轉(zhuǎn)發(fā)到不同的ISP，解析后的Web服務器地址也就屬于不同的ISP，所以上網(wǎng)流量將通過不同的ISP鏈路轉(zhuǎn)發(fā)，充分利用了所有鏈路資源。

DNS透明代理策略

管理員通過DNS透明代理策略來定義哪些DNS請求報文需要做DNS透明代理。DNS透明代理策略的具體規(guī)則如下：

• 匹配條件只有DNS請求報文的源地址和目的地址，且均為可選，如果不選，默認為any，表示該DNS透明代理策略與任意DNS請求報文匹配，并執(zhí)行配置的動作。
• 各個匹配條件之間是“與”的關(guān)系，只有報文的屬性與各個條件必須全部匹配，才認為該報文匹配這條規(guī)則。
• 一個匹配條件中如果可以配置多個值，多個值之間是“或”的關(guān)系，報文的屬性只要匹配任意一個值，就認為報文的屬性匹配了這個條件。
• FW存在多條DNS透明代理策略時，DNS請求報文將按照策略的配置順序依次進行匹配。
• 只要匹配到其中一條策略，就按照此策略的動作進行處理，不再繼續(xù)匹配剩余的其他策略。

此外，系統(tǒng)默認存在一條缺省DNS透明代理策略default，default位于策略列表的最底部，優(yōu)先級最低，所有匹配條件均為any，動作為不代理。如果所有配置的策略都未匹配，則將匹配缺省DNS透明代理策略。

DNS透明代理處理流程

當內(nèi)網(wǎng)用戶訪問某個域名時，DNS透明代理功能處理報文的流程如下圖所示。

處理流程的詳細說明如下：

1.DNS請求報文命中DNS透明代理策略后，對于需要做DNS透明代理的報文，F(xiàn)W首先判斷待解析的域名是否為排除域名。

1. 如果是排除域名，F(xiàn)W就不會做DNS透明代理；
2. 如果不是排除域名，F(xiàn)W會為報文做一個DNS透明代理標記，此標記用于后續(xù)流程的判斷。
3. 對于排除域名，如果需要更換DNS服務器來解析該域名，則FW會將DNS請求報文的目的地址修改為指定DNS服務器的地址。

2.DNS請求報文根據(jù)智能選路或者普通靜態(tài)/動態(tài)路由選路選擇出接口。

說明：

DNS請求報文使用以下幾種方法進行選路：

• DNS透明代理自身配置的智能選路方式
• 策略路由智能選路或全局選路策略
• 普通靜態(tài)/動態(tài)路由選路

優(yōu)先級關(guān)系為：DNS透明代理自身配置的智能選路方式> 策略路由智能選路 > 全局選路策略 > 普通靜態(tài)/動態(tài)路由選路。

3.當出接口上綁定了DNS服務器，且報文有DNS透明代理標記時，F(xiàn)W才會做DNS透明代理。兩個條件中有一個不滿足時，F(xiàn)W都不會做DNS透明代理

說明：

FW在每個出接口上最多綁定2個DNS服務器，一個為首選DNS服務器，一個為備用DNS服務器，它們都屬于該出接口直連的ISP網(wǎng)絡。

當FW決定DNS請求報文的出接口后，DNS透明代理功能優(yōu)先使用首選DNS服務器的地址替換DNS請求報文的目的地址，只有當首選DNS服務器的狀態(tài)為DOWN時，才使用備用DNS服務器的地址進行替換。

通過在DNS透明代理中配置健康檢查，可以判斷出接口上綁定的DNS服務器是否可用，如果首選DNS服務器和備用DNS服務器都不可用，則DNS透明代理不生效。

下面以下圖為例對DNS透明代理過程進行舉例說明。

1. 當DNS請求報文到達FW時，F(xiàn)W首先進行DNS透明代理策略的匹配。
2. 報文命中DNS透明代理策略后，F(xiàn)W根據(jù)路由查詢結(jié)果選擇一個出接口。
3. FW使用出接口上綁定的DNS服務器地址替換DNS請求報文的目的地址。
4. DNS服務器將解析后的Web服務器地址返給用戶，此Web服務器和DNS服務器屬于同一個ISP網(wǎng)絡。
5. 用戶根據(jù)返回的地址訪問Web服務器。此時需要結(jié)合ISP選路（基于ISP路由的選路）功能，使用戶能夠通過Web服務器所屬的ISP網(wǎng)絡進行訪問，防止發(fā)生跨ISP網(wǎng)絡訪問的情況。

配置舉例

如下圖所示，企業(yè)分別從ISP1和ISP2租用了一條鏈路，ISP1鏈路的帶寬為100M，ISP2鏈路的帶寬為50M。ISP1的DNS服務器地址為8.8.8.8和8.8.8.9，ISP2的DNS服務器地址為9.9.9.8和9.9.9.9。內(nèi)網(wǎng)用戶客戶端的DNS服務器地址均設置為10.2.0.70。

• 企業(yè)希望10.3.0.0/24網(wǎng)段內(nèi)網(wǎng)用戶的上網(wǎng)流量按照2:1的比例分配到ISP1和ISP2鏈路，保證各條鏈路得到充分利用且不會發(fā)生擁塞，提升內(nèi)網(wǎng)用戶的上網(wǎng)體驗。
• 內(nèi)網(wǎng)用戶訪問域名www.example.com時，不做DNS透明代理，但是要在指定的DNS服務器（8.8.8.10）上解析該域名對應的Web服務器地址。
• 當一條ISP鏈路過載（閾值為90%）時，可以使用另一條ISP鏈路進行流量轉(zhuǎn)發(fā)。

配置思路

由于企業(yè)希望上網(wǎng)流量能夠根據(jù)帶寬比例（2：1）進行分配，所以智能選路的方式設置為根據(jù)鏈路帶寬負載分擔的全局選路策略。通過在FW上配置DNS透明代理功能，可以使內(nèi)網(wǎng)用戶的DNS請求報文按照2:1的比例分配到ISP1與ISP2的DNS服務器上。

為了保證上網(wǎng)流量不會繞道其他ISP，而是直接通過目的地址所在ISP網(wǎng)絡到達Web服務器，需要配置ISP選路功能。

1. 可選：配置健康檢查功能，分別為ISP1和ISP2鏈路配置健康檢查。
2. 配置接口的IP地址、安全區(qū)域、網(wǎng)關(guān)地址、帶寬和過載保護閾值，并在接口上應用健康檢查。
3. 配置ISP選路功能。制作isp1.csv和isp2.csv兩個ISP地址文件，并上傳到FW上。
4. 配置DNS透明代理功能。在出接口上綁定DNS服務器地址，配置DNS透明代理策略來指定做DNS透明代理的流量，并配置要排除的域名。
5. 配置全局選路策略。配置智能選路方式為根據(jù)鏈路帶寬負載分擔，并指定FW和ISP1、ISP2網(wǎng)絡直連的出接口作為智能選路成員接口。
6. 配置基本的安全策略，允許企業(yè)內(nèi)網(wǎng)用戶訪問外網(wǎng)資源。

操作步驟

1.配置ISP1和ISP2鏈路的健康檢查功能。

選擇“對象> 健康檢查”，在“健康檢查列表”區(qū)域單擊“新建”，完成下圖配置。

說明：

DNS透明代理功能和智能選路一起配合使用且需要同時啟用DNS透明代理的健康檢查和智能選路接口下的健康檢查時，智能選路接口下的健康檢查探測目的地址需要配置為接口綁定的DNS服務器地址，探測協(xié)議配置為DNS，以確保兩處健康檢查結(jié)果一致，接口鏈路在正常狀態(tài)下可以始終支持DNS代理，避免因為DNS請求失敗導致業(yè)務訪問失敗。

2.配置接口的IP地址和網(wǎng)關(guān)地址，以及接口所在鏈路的帶寬和過載保護閾值，并應用對應的健康檢查。

選擇“網(wǎng)絡> 接口”，單擊待配置的接口所在行的，并做如下配置。

3.配置DNS透明代理。

a. 選擇“網(wǎng)絡 > DNS > DNS”，單擊“DNS透明代理”頁簽，并做如下配置。

接口綁定DNS服務器時，啟用“健康檢查”。

b. 單擊“應用”。

c. 配置內(nèi)網(wǎng)用戶訪問域名www.example.com時，不做DNS透明代理，但是要在指定的DNS服務器（8.8.8.10）上解析該域名對應的Web服務器地址。

d. 配置DNS透明代理策略。

4.配置ISP選路。

a. 選擇“網(wǎng)絡 > 路由 > 智能選路”，單擊“運營商地址庫”頁簽，上傳ISP地址文件到FW。

b. 選擇“網(wǎng)絡 > 路由 > ISP路由”，單擊“新建”頁簽，配置ISP選路。

5.配置全局選路策略，流量根據(jù)鏈路帶寬負載分擔。并將GigabitEthernet 0/0/1和GigabitEthernet 0/0/5加入出接口列表。

選擇“網(wǎng)絡> 路由 > 智能選路”，在“全局選路策略列表”區(qū)域，單擊“配置”。

6.配置安全策略。

a. 選擇“策略 > 安全策略 > 安全策略”。

b. 單擊“新建安全策略”，按如下參數(shù)配置從trust到untrust方向的安全策略，允許業(yè)務報文通過。配置完成后單擊“確定”。

好了，這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里，如果大家網(wǎng)絡推廣引流創(chuàng)業(yè)感興趣，可以添加微信：80709525  備注：發(fā)貨聯(lián)盟引流學習； 我拉你進直播課程學習群，每周135晚上都是有實戰(zhàn)干貨的推廣引流技術(shù)課程免費分享！