■ 達州職業(yè)技術學院 吳剛

園區(qū)網(wǎng)多出口接入Internet的典型環(huán)境中，需要解決很多問題。例如，根據(jù)訪問的目標站點所屬不同的運營商，如何自動選擇不同的出口？如何利用多運營商出口按需求進行負載分擔？目標站點在不同的運營商網(wǎng)絡都有鏡像站點的情況下，如何在運營商的DNS服務器上解析到對應的站點？

針對這些園區(qū)網(wǎng)出口的需求，華為陣營網(wǎng)絡系統(tǒng)VRP（Versatile Routing Platform）平臺的網(wǎng)關和防火墻設備提供了支撐技術來解決上述多出口選路問題。示例基于圖1網(wǎng)絡拓撲進行討論，關鍵設備是華為USG6300防火墻。

VRP平臺的運營商自動選路

如圖1，路由器ISP1R1是運營商ISP1的路由器，ISP2R1是運營商ISP2的路由器，每個運營商包含的目的網(wǎng)絡較多。為了使園區(qū)網(wǎng)訪問互聯(lián)網(wǎng)路徑優(yōu)化，ISP1網(wǎng)絡的流量走ISP1R1，ISP2網(wǎng)絡的流量走ISP2R1，USG防火墻可以配置從地址文件導入路由，而運營商地址文件可以到華為官方網(wǎng)站下載（https://isecurity.huawei.com/sec/web/freesignature.do）。

當然，地址文件也可以自定義編輯以適應個性化的需要，例如圖1中，編輯isp1.csv包含ISP1-Serv的IP為100.10.20.100，編輯isp2.csv包含ISP2-Serv的IP為200.10.20.100。此外，ISP1和ISP2都不包含的目的網(wǎng)絡可以按照全局智能選路或等價默認路由進行負載分擔。

另外，因為運營商地址庫是以靜態(tài)路由形式添加到網(wǎng)關的路由表，對運營商的網(wǎng)絡狀況沒有自動適應和切換能力，所以需要啟用“健康檢查”功能，當檢查到對應運營商網(wǎng)絡故障時會刪除路由表中該運營商的表項，丟失的目的網(wǎng)絡可通過默認路由來通信。

FW1的Web方式的主要設置為：

1.創(chuàng)建運營商

圖1 園區(qū)網(wǎng)2出口選路拓撲

選擇“網(wǎng)絡→路由→智能選路”，打開“運營商地址庫”頁，導入后新建“運營商”（如isp1_add），點擊“瀏覽”加載地址庫數(shù)據(jù)文件isp1.csv，再創(chuàng)建“運營商”，（如isp2_add），點擊“瀏覽”加載地址庫數(shù)據(jù)文件isp2.csv。

2.創(chuàng)建“健康檢查”

選擇“對象→健康檢查→健康檢查列表→新建”，名稱為isp1_jk；探測發(fā)包間隔5秒；失敗重試次數(shù)3次；偵測節(jié)點：協(xié)議設為簡單TCP，待偵測目的IP為100.10.20.100，端口為53（探測DNS服務健康狀態(tài)，可以和DNS透明代理功能保持一致）；出接口為GE1/0/1。

對isp2新建的健康檢查為：名稱isp2_jk；探測發(fā)包間隔5秒；失敗重試次數(shù)3次；偵測節(jié)點：協(xié)議設為簡單TCP，待偵測目的IP未200.10.20.100，端口為53；出接口為GE1/0/2。

3.接口配置

ge1/0/1接口配置：選擇“網(wǎng)絡→接口”，接口名稱為GigabitEthernet1/0/1；安全區(qū)域設為untrust；IP地址100.10.10.10/24；默認網(wǎng)關100.10.10.254；“多出口選項→所屬運營商”設為isp1_add；在“多出口選項→運營商路由”設為“啟用”；“多出口選項→缺省路由”設為“啟用”；“多出口選項→健康狀態(tài)檢查”項設為isp1_jk。

ge1/0/2接口配置：選擇“網(wǎng)絡→接口”，接口名稱為GigabitEthernet1/0/2；安全區(qū)域為untrust；IP地址200.10.10.10/24；默認網(wǎng)關200.10.10.254；在“多出口選項→所屬運營商”設為isp2_add；“多出口選項→運營商路由”選擇“啟用”；“多出口選項-缺省路由”選擇“啟用”；“多出口選項-健康狀態(tài)檢查”為isp2_jk。

ge0/0/0接口配置：安全區(qū)域trust；IP地址172.16.10.254/24。

4.其他必備設置

安全策略：選擇“策略→安全策略→安全策略”，名稱為trust_untrust，源安全區(qū)域為trust，目的安全區(qū)域為untrust，動作設為“允許”。

VRP平臺的多出口負載分擔

多出口負載分擔是基于運營商自動選路的，當訪問ISP1目標網(wǎng)絡的流量到達時，優(yōu)先選擇GE1/0/1出口。本例根據(jù)鏈路優(yōu)先級主備備份ISP1鏈路優(yōu)先，當訪問ISP2目標網(wǎng)絡的流量到達時，優(yōu)先選擇GE1/0/2出口，ISP2鏈路優(yōu)先。如果流量沒有匹配到策略路由，可以進一步匹配全局智能選路。基于上述增加以下配置：

1.策略路由和智能選路配置

選擇“網(wǎng)絡→路由→智能選路→策略路由（標簽頁）→新建（策略路由）”，開啟“新建策略路由”頁面，名稱為isp1_pr，匹配條件類型為源安全區(qū)域，源安全區(qū)域選擇trust，目的地址為isp1_add，運營商地址文件中，動作設為“轉發(fā)”，“出接口類型”項選擇“多出口”，多出口配置智能選路方式選擇“根據(jù)鏈路優(yōu)先級主備備份”。

“鏈路接口列表”中新建、選擇并啟動“新建鏈路接口”，設置鏈路接口名稱為isp1，接口為GE1/0/1，下一跳100.10.10.254，所屬運營商isp1_add，運營商路由選擇“啟用”，缺省路由選擇“啟用”，源進源出選擇“啟用”，健康狀態(tài)檢查為isp1_jk。

“鏈路接口列表”中新建的鏈路接口isp1設置“優(yōu)先級”為4。

相似地，“鏈路接口列表”中新建鏈路接口，設置鏈路接口名稱為isp2，接口為GE1/0/2，下一跳200.10.10.254，所屬運營商isp2_add，運營商路由選擇“啟用”，缺省路由選擇“啟用”，源進源出選擇“啟用”，健康狀態(tài)檢查為isp2_jk。

“鏈路接口列表”中新建的鏈路接口isp2設置“優(yōu)先級”為1。

Web界面設置方式如圖2所示。

再仿此新建策略路由名稱isp2_pr，匹配條件類型為源安全區(qū)域，源安全區(qū)域選擇trust，目的地址為isp2_add，運營商地址文件中，動作選擇“轉發(fā)”，出接口類型為“多出口”，多出口配置為智能選路方式，根據(jù)鏈路優(yōu)先級主備備份。

“鏈路接口列表”中選擇鏈路接口isp2，“優(yōu)先級”為4。選擇鏈路接口isp1設置“優(yōu)先級”為1。

2.全局智能選路配置

沒有匹配到策略路由，也沒有匹配到運營商地址的流量，可以按照全局智能選路進行負載分擔，配置如下：

圖2 策略路由和智能選路配置界面

選擇“網(wǎng)絡→接口”，選擇GE1/0/1，增加配置“接口帶寬”，入方向和出方向帶寬此處配置300Mbps，過載保護閾值都設為90%。

選擇“網(wǎng)絡→路由→智能選路→全局選路策略（標簽頁）”，點擊“配置”，打開“配置全局選路策略”頁，在“智能選路方式”處選擇“根據(jù)鏈路權重負載分擔”，在鏈路接口列表中點擊“新建”，在鏈路接口中選擇前面創(chuàng)建的鏈路接口isp1，“權重”選擇4；照此新建鏈路接口isp2，“權重”選擇1。沒有匹配策略路由的流量按4:1的比例分配給isp1和isp2鏈路。

出口選路最終的路由決策受多個因素影響，如何確定這些影響因素的優(yōu)先級呢？

選擇“策略路由&智能選路→明細路由→全局智能選路→默認路由”，即策略路由和策略路由智能選路相與的結果最優(yōu)先，其次是明細路由，ISP地址文件屬于明細路由，再次是全局智能選路，最后是默認路由。

VRP平臺的DNS透明代理

目標站點在不同運營商網(wǎng)絡中都有鏡像站點的情況下，如何在運營商網(wǎng)絡DNS服務器上解析到對應的站點？

企業(yè)內(nèi)部計算機設置的DNS服務器地址一般是相同的，而運營商的DNS服務器通常會解析到本運營商網(wǎng)絡內(nèi)的站點鏡像地址，多ISP選路的場景下，需要網(wǎng)關設備智能選擇不同運營商的DNS服務器進行解析。DNS透明代理技術可以根據(jù)DNS解析請求報文智能選路的出接口修改報文的目的DNS服務器地址，DNS請求被轉發(fā)到不同的運營商，解析后的站點服務器地址也就屬于不同的運營商。

本例DNS透明代理做如下配置：選擇“網(wǎng)絡DNS→DNS透明代理（標簽頁）”，在“DNS透明代理功能”項選擇“啟用”；外網(wǎng)接口列表中選擇“新建”，在彈出的“新建DNS服務器”頁分別進行以下設置：外網(wǎng)接口為GE1/0/1；首選DNS服務器為100.10.20.100；備用DNS服務器為100.10.20.101；健康檢查選擇“啟用”。再次新建“外網(wǎng)接口”為GE1/0/2；首選DNS服務器為200.10.20.100；備用DNS服務器為200.10.20.101；健康檢查選擇“啟用”。

創(chuàng)建DNS透明代理策略，“DNS透明代理策略列表”點擊“新建”，在彈出的“新建DNS透明代理策略”頁進行以下設置：名稱為dns_tp；源地址為172.16.0.0/16；動作設為“代理”。允許內(nèi)網(wǎng)網(wǎng)段訪問外網(wǎng)的請求做DNS透明代理。

在“請輸入要排除的域名”項輸入“www.10086.cn”，不需做DNS透明代理的域名。

VRP平臺的智能DNS

智能DNS技術解決的問題是外網(wǎng)用戶訪問園區(qū)網(wǎng)的服務器，不同的運營商用戶如何解析到服務器不同的公網(wǎng)地址？

當不同ISP用戶訪問園區(qū)網(wǎng)內(nèi)的Web服務器時，智能DNS技術可以將內(nèi)部DNS服務器解析到的地址進行智能修改，返回給用戶對應的ISP的地址，避免繞道到其他ISP網(wǎng)絡，實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)服務器的ISP選路。

智能DNS需NAT Server功能和源進源出功能支持。通過NAT Server才能把內(nèi)部服務器映射到公網(wǎng)地址，源進源出把ISP用戶訪問園區(qū)服務器的入接口作為響應報文的出接口，保證路徑一致。

本例智能DNS做如下配置：選擇“網(wǎng)絡→DNS→智能DNS”，啟用并應用“智能DNS”，在“智能DNS列表”項點擊“新建”，彈出“新建智能DNS”頁面，場景選擇“單服務器場景”，DNS回應地址為“100.10.10.11”（這個地址是內(nèi)部服務器映射到ISP1上的公網(wǎng)地址），流量分配方式基于ISP出口分配，“ISP出口映射列表”中新建另外的ISP接口，ISP出口為GE1/0/2，ISP服務器公網(wǎng)地址為“200.10.10.11”（這個地址是內(nèi)部服務器映射到ISP2上的公網(wǎng)地址）。

NAT Server做如下配置：選擇“策略→NAT策略→服務器映射”，在服務器映射列表中點擊“新建”，在“新建服務器映射”中設置：名稱為natserver_isp1，公網(wǎng)地址100.10.10.11，私網(wǎng)地址172.16.10.100。照此再新建服務器映射名稱為natserver_isp2，公網(wǎng)地址200.10.10.11，私網(wǎng)地址172.16.10.100。

源進源出功能配置如下：選擇“網(wǎng)絡→接口”，分別配置接口ge1/0/1和ge1/0/2：啟用源進源出路由控制。

總結

華為網(wǎng)關和防火墻設備為多出口園區(qū)網(wǎng)提供了優(yōu)化的負載解決方案，為Internet用戶訪問多出口園區(qū)網(wǎng)的服務器提供了優(yōu)化的解決方案。雖然能實現(xiàn)目標，但配置仍顯繁瑣，技術分散，仍有進一步提升的空間。