VRP平臺出口選路技術(shù)辨析

■ 達(dá)州職業(yè)技術(shù)學(xué)院 吳剛

園區(qū)網(wǎng)多出口接入Internet的典型環(huán)境中，需要解決很多問題。例如，根據(jù)訪問的目標(biāo)站點(diǎn)所屬不同的運(yùn)營商，如何自動選擇不同的出口？如何利用多運(yùn)營商出口按需求進(jìn)行負(fù)載分擔(dān)？目標(biāo)站點(diǎn)在不同的運(yùn)營商網(wǎng)絡(luò)都有鏡像站點(diǎn)的情況下，如何在運(yùn)營商的DNS服務(wù)器上解析到對應(yīng)的站點(diǎn)？

針對這些園區(qū)網(wǎng)出口的需求，華為陣營網(wǎng)絡(luò)系統(tǒng)VRP（Versatile Routing Platform）平臺的網(wǎng)關(guān)和防火墻設(shè)備提供了支撐技術(shù)來解決上述多出口選路問題。示例基于圖1網(wǎng)絡(luò)拓?fù)溥M(jìn)行討論，關(guān)鍵設(shè)備是華為USG6300防火墻。

VRP平臺的運(yùn)營商自動選路

如圖1，路由器ISP1R1是運(yùn)營商ISP1的路由器，ISP2R1是運(yùn)營商ISP2的路由器，每個運(yùn)營商包含的目的網(wǎng)絡(luò)較多。為了使園區(qū)網(wǎng)訪問互聯(lián)網(wǎng)路徑優(yōu)化，ISP1網(wǎng)絡(luò)的流量走ISP1R1，ISP2網(wǎng)絡(luò)的流量走ISP2R1，USG防火墻可以配置從地址文件導(dǎo)入路由，而運(yùn)營商地址文件可以到華為官方網(wǎng)站下載（https://isecurity.huawei.com/sec/web/freesignature.do）。

當(dāng)然，地址文件也可以自定義編輯以適應(yīng)個性化的需要，例如圖1中，編輯isp1.csv包含ISP1-Serv的IP為100.10.20.100，編輯isp2.csv包含ISP2-Serv的IP為200.10.20.100。此外，ISP1和ISP2都不包含的目的網(wǎng)絡(luò)可以按照全局智能選路或等價(jià)默認(rèn)路由進(jìn)行負(fù)載分擔(dān)。

另外，因?yàn)檫\(yùn)營商地址庫是以靜態(tài)路由形式添加到網(wǎng)關(guān)的路由表，對運(yùn)營商的網(wǎng)絡(luò)狀況沒有自動適應(yīng)和切換能力，所以需要啟用“健康檢查”功能，當(dāng)檢查到對應(yīng)運(yùn)營商網(wǎng)絡(luò)故障時會刪除路由表中該運(yùn)營商的表項(xiàng)，丟失的目的網(wǎng)絡(luò)可通過默認(rèn)路由來通信。

FW1的Web方式的主要設(shè)置為：

1.創(chuàng)建運(yùn)營商

圖1 園區(qū)網(wǎng)2出口選路拓?fù)?/p>

選擇“網(wǎng)絡(luò)→路由→智能選路”，打開“運(yùn)營商地址庫”頁，導(dǎo)入后新建“運(yùn)營商”（如isp1_add），點(diǎn)擊“瀏覽”加載地址庫數(shù)據(jù)文件isp1.csv，再創(chuàng)建“運(yùn)營商”，（如isp2_add），點(diǎn)擊“瀏覽”加載地址庫數(shù)據(jù)文件isp2.csv。

2.創(chuàng)建“健康檢查”

選擇“對象→健康檢查→健康檢查列表→新建”，名稱為isp1_jk；探測發(fā)包間隔5秒；失敗重試次數(shù)3次；偵測節(jié)點(diǎn)：協(xié)議設(shè)為簡單TCP，待偵測目的IP為100.10.20.100，端口為53（探測DNS服務(wù)健康狀態(tài)，可以和DNS透明代理功能保持一致）；出接口為GE1/0/1。

對isp2新建的健康檢查為：名稱isp2_jk；探測發(fā)包間隔5秒；失敗重試次數(shù)3次；偵測節(jié)點(diǎn)：協(xié)議設(shè)為簡單TCP，待偵測目的IP未200.10.20.100，端口為53；出接口為GE1/0/2。

3.接口配置

ge1/0/1接口配置：選擇“網(wǎng)絡(luò)→接口”，接口名稱為GigabitEthernet1/0/1；安全區(qū)域設(shè)為untrust；IP地址100.10.10.10/24；默認(rèn)網(wǎng)關(guān)100.10.10.254；“多出口選項(xiàng)→所屬運(yùn)營商”設(shè)為isp1_add；在“多出口選項(xiàng)→運(yùn)營商路由”設(shè)為“啟用”；“多出口選項(xiàng)→缺省路由”設(shè)為“啟用”；“多出口選項(xiàng)→健康狀態(tài)檢查”項(xiàng)設(shè)為isp1_jk。

ge1/0/2接口配置：選擇“網(wǎng)絡(luò)→接口”，接口名稱為GigabitEthernet1/0/2；安全區(qū)域?yàn)閡ntrust；IP地址200.10.10.10/24；默認(rèn)網(wǎng)關(guān)200.10.10.254；在“多出口選項(xiàng)→所屬運(yùn)營商”設(shè)為isp2_add；“多出口選項(xiàng)→運(yùn)營商路由”選擇“啟用”；“多出口選項(xiàng)-缺省路由”選擇“啟用”；“多出口選項(xiàng)-健康狀態(tài)檢查”為isp2_jk。

ge0/0/0接口配置：安全區(qū)域trust；IP地址172.16.10.254/24。

4.其他必備設(shè)置

安全策略：選擇“策略→安全策略→安全策略”，名稱為trust_untrust，源安全區(qū)域?yàn)閠rust，目的安全區(qū)域?yàn)閡ntrust，動作設(shè)為“允許”。

VRP平臺的多出口負(fù)載分擔(dān)

多出口負(fù)載分擔(dān)是基于運(yùn)營商自動選路的，當(dāng)訪問ISP1目標(biāo)網(wǎng)絡(luò)的流量到達(dá)時，優(yōu)先選擇GE1/0/1出口。本例根據(jù)鏈路優(yōu)先級主備備份ISP1鏈路優(yōu)先，當(dāng)訪問ISP2目標(biāo)網(wǎng)絡(luò)的流量到達(dá)時，優(yōu)先選擇GE1/0/2出口，ISP2鏈路優(yōu)先。如果流量沒有匹配到策略路由，可以進(jìn)一步匹配全局智能選路?；谏鲜鲈黾右韵屡渲茫?/p>

1.策略路由和智能選路配置

選擇“網(wǎng)絡(luò)→路由→智能選路→策略路由（標(biāo)簽頁）→新建（策略路由）”，開啟“新建策略路由”頁面，名稱為isp1_pr，匹配條件類型為源安全區(qū)域，源安全區(qū)域選擇trust，目的地址為isp1_add，運(yùn)營商地址文件中，動作設(shè)為“轉(zhuǎn)發(fā)”，“出接口類型”項(xiàng)選擇“多出口”，多出口配置智能選路方式選擇“根據(jù)鏈路優(yōu)先級主備備份”。

“鏈路接口列表”中新建、選擇并啟動“新建鏈路接口”，設(shè)置鏈路接口名稱為isp1，接口為GE1/0/1，下一跳100.10.10.254，所屬運(yùn)營商isp1_add，運(yùn)營商路由選擇“啟用”，缺省路由選擇“啟用”，源進(jìn)源出選擇“啟用”，健康狀態(tài)檢查為isp1_jk。

“鏈路接口列表”中新建的鏈路接口isp1設(shè)置“優(yōu)先級”為4。

相似地，“鏈路接口列表”中新建鏈路接口，設(shè)置鏈路接口名稱為isp2，接口為GE1/0/2，下一跳200.10.10.254，所屬運(yùn)營商isp2_add，運(yùn)營商路由選擇“啟用”，缺省路由選擇“啟用”，源進(jìn)源出選擇“啟用”，健康狀態(tài)檢查為isp2_jk。

“鏈路接口列表”中新建的鏈路接口isp2設(shè)置“優(yōu)先級”為1。

Web界面設(shè)置方式如圖2所示。

再仿此新建策略路由名稱isp2_pr，匹配條件類型為源安全區(qū)域，源安全區(qū)域選擇trust，目的地址為isp2_add，運(yùn)營商地址文件中，動作選擇“轉(zhuǎn)發(fā)”，出接口類型為“多出口”，多出口配置為智能選路方式，根據(jù)鏈路優(yōu)先級主備備份。

“鏈路接口列表”中選擇鏈路接口isp2，“優(yōu)先級”為4。選擇鏈路接口isp1設(shè)置“優(yōu)先級”為1。

2.全局智能選路配置

沒有匹配到策略路由，也沒有匹配到運(yùn)營商地址的流量，可以按照全局智能選路進(jìn)行負(fù)載分擔(dān)，配置如下：

圖2 策略路由和智能選路配置界面

選擇“網(wǎng)絡(luò)→接口”，選擇GE1/0/1，增加配置“接口帶寬”，入方向和出方向帶寬此處配置300Mbps，過載保護(hù)閾值都設(shè)為90%。

選擇“網(wǎng)絡(luò)→路由→智能選路→全局選路策略（標(biāo)簽頁）”，點(diǎn)擊“配置”，打開“配置全局選路策略”頁，在“智能選路方式”處選擇“根據(jù)鏈路權(quán)重負(fù)載分擔(dān)”，在鏈路接口列表中點(diǎn)擊“新建”，在鏈路接口中選擇前面創(chuàng)建的鏈路接口isp1，“權(quán)重”選擇4；照此新建鏈路接口isp2，“權(quán)重”選擇1。沒有匹配策略路由的流量按4:1的比例分配給isp1和isp2鏈路。

出口選路最終的路由決策受多個因素影響，如何確定這些影響因素的優(yōu)先級呢？

選擇“策略路由&智能選路→明細(xì)路由→全局智能選路→默認(rèn)路由”，即策略路由和策略路由智能選路相與的結(jié)果最優(yōu)先，其次是明細(xì)路由，ISP地址文件屬于明細(xì)路由，再次是全局智能選路，最后是默認(rèn)路由。

VRP平臺的DNS透明代理

目標(biāo)站點(diǎn)在不同運(yùn)營商網(wǎng)絡(luò)中都有鏡像站點(diǎn)的情況下，如何在運(yùn)營商網(wǎng)絡(luò)DNS服務(wù)器上解析到對應(yīng)的站點(diǎn)？

企業(yè)內(nèi)部計(jì)算機(jī)設(shè)置的DNS服務(wù)器地址一般是相同的，而運(yùn)營商的DNS服務(wù)器通常會解析到本運(yùn)營商網(wǎng)絡(luò)內(nèi)的站點(diǎn)鏡像地址，多ISP選路的場景下，需要網(wǎng)關(guān)設(shè)備智能選擇不同運(yùn)營商的DNS服務(wù)器進(jìn)行解析。DNS透明代理技術(shù)可以根據(jù)DNS解析請求報(bào)文智能選路的出接口修改報(bào)文的目的DNS服務(wù)器地址，DNS請求被轉(zhuǎn)發(fā)到不同的運(yùn)營商，解析后的站點(diǎn)服務(wù)器地址也就屬于不同的運(yùn)營商。

本例DNS透明代理做如下配置：選擇“網(wǎng)絡(luò)DNS→DNS透明代理（標(biāo)簽頁）”，在“DNS透明代理功能”項(xiàng)選擇“啟用”；外網(wǎng)接口列表中選擇“新建”，在彈出的“新建DNS服務(wù)器”頁分別進(jìn)行以下設(shè)置：外網(wǎng)接口為GE1/0/1；首選DNS服務(wù)器為100.10.20.100；備用DNS服務(wù)器為100.10.20.101；健康檢查選擇“啟用”。再次新建“外網(wǎng)接口”為GE1/0/2；首選DNS服務(wù)器為200.10.20.100；備用DNS服務(wù)器為200.10.20.101；健康檢查選擇“啟用”。

創(chuàng)建DNS透明代理策略，“DNS透明代理策略列表”點(diǎn)擊“新建”，在彈出的“新建DNS透明代理策略”頁進(jìn)行以下設(shè)置：名稱為dns_tp；源地址為172.16.0.0/16；動作設(shè)為“代理”。允許內(nèi)網(wǎng)網(wǎng)段訪問外網(wǎng)的請求做DNS透明代理。

在“請輸入要排除的域名”項(xiàng)輸入“www.10086.cn”，不需做DNS透明代理的域名。

VRP平臺的智能DNS

智能DNS技術(shù)解決的問題是外網(wǎng)用戶訪問園區(qū)網(wǎng)的服務(wù)器，不同的運(yùn)營商用戶如何解析到服務(wù)器不同的公網(wǎng)地址？

當(dāng)不同ISP用戶訪問園區(qū)網(wǎng)內(nèi)的Web服務(wù)器時，智能DNS技術(shù)可以將內(nèi)部DNS服務(wù)器解析到的地址進(jìn)行智能修改，返回給用戶對應(yīng)的ISP的地址，避免繞道到其他ISP網(wǎng)絡(luò)，實(shí)現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器的ISP選路。

智能DNS需NAT Server功能和源進(jìn)源出功能支持。通過NAT Server才能把內(nèi)部服務(wù)器映射到公網(wǎng)地址，源進(jìn)源出把ISP用戶訪問園區(qū)服務(wù)器的入接口作為響應(yīng)報(bào)文的出接口，保證路徑一致。

本例智能DNS做如下配置：選擇“網(wǎng)絡(luò)→DNS→智能DNS”，啟用并應(yīng)用“智能DNS”，在“智能DNS列表”項(xiàng)點(diǎn)擊“新建”，彈出“新建智能DNS”頁面，場景選擇“單服務(wù)器場景”，DNS回應(yīng)地址為“100.10.10.11”（這個地址是內(nèi)部服務(wù)器映射到ISP1上的公網(wǎng)地址），流量分配方式基于ISP出口分配，“ISP出口映射列表”中新建另外的ISP接口，ISP出口為GE1/0/2，ISP服務(wù)器公網(wǎng)地址為“200.10.10.11”（這個地址是內(nèi)部服務(wù)器映射到ISP2上的公網(wǎng)地址）。

NAT Server做如下配置：選擇“策略→NAT策略→服務(wù)器映射”，在服務(wù)器映射列表中點(diǎn)擊“新建”，在“新建服務(wù)器映射”中設(shè)置：名稱為natserver_isp1，公網(wǎng)地址100.10.10.11，私網(wǎng)地址172.16.10.100。照此再新建服務(wù)器映射名稱為natserver_isp2，公網(wǎng)地址200.10.10.11，私網(wǎng)地址172.16.10.100。

源進(jìn)源出功能配置如下：選擇“網(wǎng)絡(luò)→接口”，分別配置接口ge1/0/1和ge1/0/2：啟用源進(jìn)源出路由控制。

總結(jié)

華為網(wǎng)關(guān)和防火墻設(shè)備為多出口園區(qū)網(wǎng)提供了優(yōu)化的負(fù)載解決方案，為Internet用戶訪問多出口園區(qū)網(wǎng)的服務(wù)器提供了優(yōu)化的解決方案。雖然能實(shí)現(xiàn)目標(biāo)，但配置仍顯繁瑣，技術(shù)分散，仍有進(jìn)一步提升的空間。