VRP平台出口选路技术辨析

2020-06-20达州职业技术学院吴刚

网络安全和信息化 2020年6期

■ 达州职业技术学院吴刚

园区网多出口接入Internet的典型环境中，需要解决很多问题。例如，根据访问的目标站点所属不同的运营商，如何自动选择不同的出口？如何利用多运营商出口按需求进行负载分担？目标站点在不同的运营商网络都有镜像站点的情况下，如何在运营商的DNS服务器上解析到对应的站点？

针对这些园区网出口的需求，华为阵营网络系统VRP（Versatile Routing Platform）平台的网关和防火墙设备提供了支撑技术来解决上述多出口选路问题。示例基于图1网络拓扑进行讨论，关键设备是华为USG6300防火墙。

VRP平台的运营商自动选路

如图1，路由器ISP1R1是运营商ISP1的路由器，ISP2R1是运营商ISP2的路由器，每个运营商包含的目的网络较多。为了使园区网访问互联网路径优化，ISP1网络的流量走ISP1R1，ISP2网络的流量走ISP2R1，USG防火墙可以配置从地址文件导入路由，而运营商地址文件可以到华为官方网站下载（https://isecurity.huawei.com/sec/web/freesignature.do）。

当然，地址文件也可以自定义编辑以适应个性化的需要，例如图1中，编辑isp1.csv包含ISP1-Serv的IP为100.10.20.100，编辑isp2.csv包含ISP2-Serv的IP为200.10.20.100。此外，ISP1和ISP2都不包含的目的网络可以按照全局智能选路或等价默认路由进行负载分担。

另外，因为运营商地址库是以静态路由形式添加到网关的路由表，对运营商的网络状况没有自动适应和切换能力，所以需要启用“健康检查”功能，当检查到对应运营商网络故障时会删除路由表中该运营商的表项，丢失的目的网络可通过默认路由来通信。

FW1的Web方式的主要设置为：

1.创建运营商

图1 园区网2出口选路拓扑

选择“网络→路由→智能选路”，打开“运营商地址库”页，导入后新建“运营商”（如isp1_add），点击“浏览”加载地址库数据文件isp1.csv，再创建“运营商”，（如isp2_add），点击“浏览”加载地址库数据文件isp2.csv。

2.创建“健康检查”

选择“对象→健康检查→健康检查列表→新建”，名称为isp1_jk；探测发包间隔5秒；失败重试次数3次；侦测节点：协议设为简单TCP，待侦测目的IP为100.10.20.100，端口为53（探测DNS服务健康状态，可以和DNS透明代理功能保持一致）；出接口为GE1/0/1。

对isp2新建的健康检查为：名称isp2_jk；探测发包间隔5秒；失败重试次数3次；侦测节点：协议设为简单TCP，待侦测目的IP未200.10.20.100，端口为53；出接口为GE1/0/2。

3.接口配置

ge1/0/1接口配置：选择“网络→接口”，接口名称为GigabitEthernet1/0/1；安全区域设为untrust；IP地址100.10.10.10/24；默认网关100.10.10.254；“多出口选项→所属运营商”设为isp1_add；在“多出口选项→运营商路由”设为“启用”；“多出口选项→缺省路由”设为“启用”；“多出口选项→健康状态检查”项设为isp1_jk。

ge1/0/2接口配置：选择“网络→接口”，接口名称为GigabitEthernet1/0/2；安全区域为untrust；IP地址200.10.10.10/24；默认网关200.10.10.254；在“多出口选项→所属运营商”设为isp2_add；“多出口选项→运营商路由”选择“启用”；“多出口选项-缺省路由”选择“启用”；“多出口选项-健康状态检查”为isp2_jk。

ge0/0/0接口配置：安全区域trust；IP地址172.16.10.254/24。

4.其他必备设置

安全策略：选择“策略→安全策略→安全策略”，名称为trust_untrust，源安全区域为trust，目的安全区域为untrust，动作设为“允许”。

VRP平台的多出口负载分担

多出口负载分担是基于运营商自动选路的，当访问ISP1目标网络的流量到达时，优先选择GE1/0/1出口。本例根据链路优先级主备备份ISP1链路优先，当访问ISP2目标网络的流量到达时，优先选择GE1/0/2出口，ISP2链路优先。如果流量没有匹配到策略路由，可以进一步匹配全局智能选路。基于上述增加以下配置：

1.策略路由和智能选路配置

选择“网络→路由→智能选路→策略路由（标签页）→新建（策略路由）”，开启“新建策略路由”页面，名称为isp1_pr，匹配条件类型为源安全区域，源安全区域选择trust，目的地址为isp1_add，运营商地址文件中，动作设为“转发”，“出接口类型”项选择“多出口”，多出口配置智能选路方式选择“根据链路优先级主备备份”。

“链路接口列表”中新建、选择并启动“新建链路接口”，设置链路接口名称为isp1，接口为GE1/0/1，下一跳100.10.10.254，所属运营商isp1_add，运营商路由选择“启用”，缺省路由选择“启用”，源进源出选择“启用”，健康状态检查为isp1_jk。

“链路接口列表”中新建的链路接口isp1设置“优先级”为4。

相似地，“链路接口列表”中新建链路接口，设置链路接口名称为isp2，接口为GE1/0/2，下一跳200.10.10.254，所属运营商isp2_add，运营商路由选择“启用”，缺省路由选择“启用”，源进源出选择“启用”，健康状态检查为isp2_jk。

“链路接口列表”中新建的链路接口isp2设置“优先级”为1。

Web界面设置方式如图2所示。

再仿此新建策略路由名称isp2_pr，匹配条件类型为源安全区域，源安全区域选择trust，目的地址为isp2_add，运营商地址文件中，动作选择“转发”，出接口类型为“多出口”，多出口配置为智能选路方式，根据链路优先级主备备份。

“链路接口列表”中选择链路接口isp2，“优先级”为4。选择链路接口isp1设置“优先级”为1。

2.全局智能选路配置

没有匹配到策略路由，也没有匹配到运营商地址的流量，可以按照全局智能选路进行负载分担，配置如下：

图2 策略路由和智能选路配置界面

选择“网络→接口”，选择GE1/0/1，增加配置“接口带宽”，入方向和出方向带宽此处配置300Mbps，过载保护阈值都设为90%。

选择“网络→路由→智能选路→全局选路策略（标签页）”，点击“配置”，打开“配置全局选路策略”页，在“智能选路方式”处选择“根据链路权重负载分担”，在链路接口列表中点击“新建”，在链路接口中选择前面创建的链路接口isp1，“权重”选择4；照此新建链路接口isp2，“权重”选择1。没有匹配策略路由的流量按4:1的比例分配给isp1和isp2链路。

出口选路最终的路由决策受多个因素影响，如何确定这些影响因素的优先级呢？

选择“策略路由&智能选路→明细路由→全局智能选路→默认路由”，即策略路由和策略路由智能选路相与的结果最优先，其次是明细路由，ISP地址文件属于明细路由，再次是全局智能选路，最后是默认路由。

VRP平台的DNS透明代理

目标站点在不同运营商网络中都有镜像站点的情况下，如何在运营商网络DNS服务器上解析到对应的站点？

企业内部计算机设置的DNS服务器地址一般是相同的，而运营商的DNS服务器通常会解析到本运营商网络内的站点镜像地址，多ISP选路的场景下，需要网关设备智能选择不同运营商的DNS服务器进行解析。DNS透明代理技术可以根据DNS解析请求报文智能选路的出接口修改报文的目的DNS服务器地址，DNS请求被转发到不同的运营商，解析后的站点服务器地址也就属于不同的运营商。

本例DNS透明代理做如下配置：选择“网络DNS→DNS透明代理（标签页）”，在“DNS透明代理功能”项选择“启用”；外网接口列表中选择“新建”，在弹出的“新建DNS服务器”页分别进行以下设置：外网接口为GE1/0/1；首选DNS服务器为100.10.20.100；备用DNS服务器为100.10.20.101；健康检查选择“启用”。再次新建“外网接口”为GE1/0/2；首选DNS服务器为200.10.20.100；备用DNS服务器为200.10.20.101；健康检查选择“启用”。

创建DNS透明代理策略，“DNS透明代理策略列表”点击“新建”，在弹出的“新建DNS透明代理策略”页进行以下设置：名称为dns_tp；源地址为172.16.0.0/16；动作设为“代理”。允许内网网段访问外网的请求做DNS透明代理。

在“请输入要排除的域名”项输入“www.10086.cn”，不需做DNS透明代理的域名。

VRP平台的智能DNS

智能DNS技术解决的问题是外网用户访问园区网的服务器，不同的运营商用户如何解析到服务器不同的公网地址？

当不同ISP用户访问园区网内的Web服务器时，智能DNS技术可以将内部DNS服务器解析到的地址进行智能修改，返回给用户对应的ISP的地址，避免绕道到其他ISP网络，实现外网访问内网服务器的ISP选路。

智能DNS需NAT Server功能和源进源出功能支持。通过NAT Server才能把内部服务器映射到公网地址，源进源出把ISP用户访问园区服务器的入接口作为响应报文的出接口，保证路径一致。

本例智能DNS做如下配置：选择“网络→DNS→智能DNS”，启用并应用“智能DNS”，在“智能DNS列表”项点击“新建”，弹出“新建智能DNS”页面，场景选择“单服务器场景”，DNS回应地址为“100.10.10.11”（这个地址是内部服务器映射到ISP1上的公网地址），流量分配方式基于ISP出口分配，“ISP出口映射列表”中新建另外的ISP接口，ISP出口为GE1/0/2，ISP服务器公网地址为“200.10.10.11”（这个地址是内部服务器映射到ISP2上的公网地址）。

NAT Server做如下配置：选择“策略→NAT策略→服务器映射”，在服务器映射列表中点击“新建”，在“新建服务器映射”中设置：名称为natserver_isp1，公网地址100.10.10.11，私网地址172.16.10.100。照此再新建服务器映射名称为natserver_isp2，公网地址200.10.10.11，私网地址172.16.10.100。

源进源出功能配置如下：选择“网络→接口”，分别配置接口ge1/0/1和ge1/0/2：启用源进源出路由控制。