第十二课 路由优化及网络带宽管理.ppt

1、工作任务14：利用防火墙进行网络路由优化及网络带宽管理,毛 颉 浙江工业职业技术学院计算机分院 mj_,学习目标,熟悉防火墙带宽管理及策略路由功能 掌握防火墙路由优化功能设置 掌握防火墙带宽管理配置方法 能根据要求，配置防火墙实现路由优化及带宽管理,学习情境1,学习情境1,某企业为解决跨网访问速度较慢的问题，企业网络通过防火墙对外连接了两个ISP （电信和网通） ，外网用户可以访问企业内网的一台服务器，为了达到网络的稳定畅通，公司希望电信和网通用户可以分别通过两个不同的公网地址来访问该服务器服务器；而且内网服务器回复报文遵循电信用户使用电信出口，网通用户使用网通出口的规则。为实现这一目标，防火

2、墙应作如何配置？,学习性任务1,为满足上述需求，可以通过设置防火墙策略路由来解决。 策略路由与静态路由都用于定义数据包转发规则，但基于策略的路由根据制定的策略灵活转发数据包。,学习性任务1,策略路由配置 1）在左侧导航菜单中选择 网络管理 路由， 点击“策略路由”页签，可以看到策略路由表。 2）点击“添加”，添加一条空的策略路由。 a）在“名称”处输入字符作为策略路由的唯一标识，不得与已有策略路由名相同，而且不得超过31个字符，否则会提示错误信息。 b）在“属性绑定”下方选择属性，将此策略绑定到一个属性上。,学习性任务1,根据绑定的属性不同，将策略路由分为三类： 接口相关的策略路由 当选择接口

3、相关的属性时，由于接口和属性是一一对应的，因此将策略与属性绑定实现了策略与接口的绑定，从而使得不同的接口收到的数据包可以使用不同的路由策略。 全局的策略路由 当属性选择global时。任何接口收到的数据包都会查找全局的策略路由。 本机外出的策略路由： 当属性选择local时，表示为本机发出的数据报文匹配的策略路由（即源地址为防火墙上的接口地址）。 如果全局的策略路由和接口相关的策略路由定义相冲突，则全局策略路由的优先级低于接口相关的策略路由。,学习性任务1,参数说明 源地址：用来标识IP包的源地址或源网络。注意填写源地址转换前的IP及掩码，也就是真实的子网地址。 源掩码：源IP地址的掩码。与源

4、地址一起来标识源主机或路由器所在的网段的地址。,学习性任务1,3）添加策略后，点击“路由条目”对应的图标，管理员可以向策略路由中添加新的策略路由条目。 4）策略路由条目管理。 点击策略路由左侧的三角形图标，可以查看其中的策略路由表，策略路由按照默认添加顺序显示。 注意：策略路由执行顺序匹配原则，即策略的顺序与策略的逻辑相关，用户应该根据网络实际情况及时调整策略路由的位置进而改变路由的执行顺序。,工作任务1,某企业网络通过防火墙连接了两个ISP（电信和网通），网络连接情况如图1。其中网通用户使用企业提供的地址：访问内部网络；电信用户使用企业提供的地址：访问

5、内部网络。 需求1：电信和网通用户可以分别通过两个不同的公网地址来访问企业内网的一台服务器；而且内网服务器回复报文遵循电信用户使用电信出口，网通用户使用网通出口的规则。 需求2：电信和网通用户可以分别通过两个不同的公网地址（即两个接口地址）来对防火墙进行管理。,图1 策略路由配置,工作任务1,图1 策略路由配置,配置要点（需求1） 配置主机资源 配置目的地址转换策略 配置策略路由 配置要点（需求2） 配置策略路由,配置要点（需求1） 配置主机资源 配置目的地址转换策略 配置策略路由,1.配置主机资源 选择 资源管理 地址，在“主机”页面中点击“添加”添加下列主机资源，,2.配置策略路由 添加策

6、略路由并设置绑定属性 选择 网络管理 路由，并点击“策略路由”页签，点击“添加”,添加路由条目 在已添加的策略路由a上点击“路由条目”，添加下列路由条目，,“源地址”处要填入网通和电信的子网地址。 “转换后的源”要设为开启。,配置要点（需求2） 配置策略路由,添加策略路由并设置绑定属性 选择 网络管理 路由，并点击“策略路由”页签，点击“添加”,添加路由条目 在已添加的策略路由b上点击“路由条目”，添加两条路由条目,“源地址”处要填入网通和电信用户所访问设备的真实地址。,扩展训练,CLI配置 需求1 1）配置主机资源 #define host add name ipadd

7、r #define host add name ipaddr #define host add name 22 ipaddr 22 2）配置目的地址转换策略 #nat policy add orig_src any orig_dst trans_dst 22 #nat policy add orig_src any orig_dst trans_dst 22,扩展训练,3）添加策略路由 networ

8、k route-policy add name a 4）绑定策略路由属性（global） network route-policy global-bind set a 5）添加策略路由条目 network route-policy add-entry name a src /24 gw masq-src on network route-policy add-entry name a src /24 gw masq-src on,扩展训练,需求2： 1）添加策略路由 network route-policy a

9、dd name b 2）绑定策略路由属性（local） network route-policy local-bind set b 3）添加策略路由条目 network route-policy add-entry name b src /32 gw network route-policy add-entry name b src /32 gw ,学习情境2,某公司网络信息管理部门发现，因内网部分员工的网络滥用而导致网络流量偏高，上网速度很慢，影响企业关键业务。应该如何利用防火墙解决出现的问题？,学习性任务2,

10、为满足上述需求，可以通过设置防火墙带宽管理，控制网络访问，保证企业主要业务带宽。,学习性任务2,设置带宽策略的具体步骤： 1) 设置采用带宽控制的物理接口。 选择 网络管理 流量管理，选择“带宽控制”页签。 点击“添加接口”。 在“接口”处填写需要进行带宽控制的物理接口名称。 2）设置类，分为两种情况：在接口下添加类和为普通类添加子类。 在接口下添加类只能添加共享类。 在普通类下可以设置共享子类或独享子类。此时需要保证父类下没有设置规则，否则会弹出提示框，无法完成添加。 3）在没有子类的普通类下设置数据流的匹配规则。,工作任务2,某企业的网络结构示意图如图2所示。,图2 企业网络结构,任务要求

11、：,1、内网（/24）向外部上传数据，并对不同的应用设置不同的优先级控制以及带宽优化： ICMP为最高优先级，保证带宽为1K（最大限制带宽为7K） WEB为第二优先级，保证带宽为2K（最大限制带宽为7K） FTP为第三优先级，保证带宽为2K（最大限制带宽为7K） SMTP为最低优先级，保证带宽为1K（最大限制带宽为7K）,配置要点,1、搭建如图1所示网络环境，内网到外网nat_ip为：01，防火墙默认路由为：54 2、设置采用QoS的物理接口。 注：接口的配置原则是以数据流流向为准，在数据流出网络卫士防火墙的物理接口上配置才能生效。,配置要点,3、在接口下设置一到多个类及其子类。 在物理接口下设置上传类及其四个子类：ICMP上传、Web上传、FTP上传、邮件上传。