防火墙路由负载

1、防火墙利用策略路由+NAT方式实现链路冗余和负载均衡摘 在为用户设计组网方案过程中，经常会遇到用户具有双岀口（电信、网通），要求组网能够实现双链路要冗余，并且在双链路情况下实现负载均衡的需求。本文通过实验模拟组网介绍此种情况下利用防火墙策:略路由+NAT方式的解决方案。容一、组网需求：1. 正常情况下 10.0.0.2从出口 12.12.12.0NAT 转化成 100.0.0.0 的地址，20.0.0.2 从出口 13.13.13.0NAT转化成200.0.0.0的地址，实现负载均衡。2. FW双出口的某一条链路down,所有用户NAT成同一地址段出去，实现链 路冗余。二、实验组网30 0.0

2、.230 0.03*4.444四、关键配置USG5360 (V100R003C01SPC007):ip address-set 100and200 type objectaddress 0 10.0.0.0 mask 24address 1 20.0.0.0 mask 24#ip address-set 10.0.0.2 type objectaddress 0 10.0.0.0 mask 24 #ip address-set 20.0.0.2 type objectaddress 0 20.0.0.0 mask 24#acl number 3001rule 0 permit ip sourc

3、e 10.0.0.0 0.255.255.255acl number 3002rule 0 permit ip source 20.0.0.0 0.255.255.255 #nat address-group 100 NAT1 100.0.0.1 100.0.0.100nat address-group 200 NAT2 200.0.0.1 200.0.0.100 #traffic classifier 12if-match acl 3001traffic classifier 13if-match acl 3002#traffic behavior 12remark ip-nexthop 1

4、2.12.12.2 output-interface GigabitEthernet0/0/0 traffic behavior 13remark ip-nexthop 13.13.13.2 output-interface GigabitEthernet0/0/1qos policy reclassifier 12 behavior 12classifier 13 behavior 13 #interface GigabitEthernet0/0/0ip address 12.12.12.1 255.255.255.252 #interface GigabitEthernet0/0/1ip

5、address 13.13.13.1 255.255.255.252 #interface GigabitEthernet0/0/2 ip address 20.0.0.1 255.255.255.0# interface GigabitEthernet0/0/3ip address 10.0.0.1 255.255.255.0 # firewall zone localset priority 100# firewall zone trustset priority 85 qos apply policy re outbound add interface GigabitEthernet0/

6、0/2add interface GigabitEthernet0/0/3#firewall zone untrustset priority 5#firewall zone name t100set priority 10add interface GigabitEthernet0/0/0#firewall zone name t200set priority 11add interface GigabitEthernet0/0/1#nat-policy interzone trust untrust outbound#nat-policy interzone trust t100 outb

7、ound policy 0action source-natpolicy source address-set 100and200 address-group NAT1#nat-policy interzone trust t200 outboundpolicy 0action source-natpolicy source address-set 100and200address-group NAT2#ip route-static 0.0.0.0 0.0.0.0 13.13.13.2ip route-static 0.0.0.0 0.0.0.0 12.12.12.2#五、实现原理按照实验要

8、求，如果我们用传统的NAT将10.0.0.2 nat成100.0.0.0/24 网段，将20.0.0.2 nat 成200.0.0.0/24网段，这种方法是实现不了当 FW双线上连线路任意断掉一条业务不断的实验要求。那么我们应如何解决这个 问题呢？首先我们要了解防火墙的处理流程，如下图：NAT实际上在防火墙中也属于域间策略的一种，即从上图中我们可以知道NAT是在路由选路后进行的，而 NAT的配置很简单，只是将匹配的地址（acl）进行一个地址转换的操作（如果不选 no-pat方式还包括端口），所以 我们不可能从NAT上进行某种操作来实现冗余。这时我们就可以考虑使用策 略路由，建议大家在这个时候根

9、据流程图画一张该实验的分析图。如下图：端【1接收IP杈文注：方便起见，图中文字的接口用IP地址来表示具体三层接口。从上图中，我们就可以知道，根据不同的下一跳接口，可以分类出两种不同的域间策略，这时我们就可以在不同的域间进行不同NAT，实现了实验要求的NAT需求。那么第二个实验要求能不能实现呢？答案是确定能实现的。我们可以仔细思考一下，利用策略路由我们可以实现不同源地址同一目的地址的不同下一跳操作（有点绕），而下一跳地址是 否有效是由三层端口的链路状态决定的。那么此时，我们将 FW上联线路断掉其中一条，自然FW就只存在唯一一条有效的路由下一跳，上图中的流程 就不存在了双线，因为只有一个下一跳，也就只有一个目的域，即两个 NAT 中只有一个生效。六、总结通过上述分析，我们了解了利用策略路由 +NAT 实现双链路负载冗余的需 求，即通过有限的功能实现变化多端的应用。从原理上分析，此解决方案是 比较可行的，但在具体应用过程中，仍有几点需要注意：1. FW 是基于会话的， 如果真实的会话改变， 那么必须手动清空会话表才 能恢复业务，或者停止业务到一个会话的老化时间，再发起。2