目录
1.NAT的分类
2.智能选路
1.就近选路
2.策略路由
3.智能选路
NAT:(Network Address Translation,网络地址转换) 指网络地址转换,1994年提出的。NAT是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。NAT实际上是为解决IPv4地址短缺而开发的技术。
NAPT:(Network Address Port Translation),即网络地址端口转换,可将多个内部地址映射为一个合法公网地址,但以不同的协议端口号与不同的内部地址相对应,也就是与之间的转换。NAPT普遍用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT也被称为“多对一”的NAT,或者叫PAT(Port Address Translations,端口地址转换)、地址超载(address overloading)。
NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号
1.NAT的分类
对报文中的源地址进行转换还是对目的地址进行转换,NAT可以分为源NAT、目的NAT和双向NAT
注意:源NAT的执行在安全策略之后,目标NAT的执行在安全策略之前;
端口是用来标识主机的,端口是用来标识应用和服务的,一个地址可以有多个端口
安全区域 ---- 写的是被允许访问该服务器设备所在的区域。
双向NAT场景
源NAT
1,将不同的接口放置在不同的区域中,基于区域做NAT策略
2,将不同的接口放在同一个区域,基于接口做NAT策略
目标NAT
1,可以分区域配置两个服务器映射
2,也可以是同一个区域。注意,如果是同一个区域,不能将两条服务器映射策略同时
开启“允许服务器访问公网”
2.智能选路
1.就近选路
--- 根据访问的节点所在的运营商选择对应的运营商线路
将近选路配置
2.策略路由
-PBR ((Policy-Based Routing)--- 策略路由其实也是一种策略,他不仅可以按照现有的路由表进行转发,而且可以根据用户指定的策略进行路由选择的机制,从更多维度决定报文是如何转发的,如例如源IP地址、源MAc地址、目的MAc地址、源端口号、目的端口号、VLAN-ID等等
抓取的流量进行转发
虚拟系统 --- VRF--把一个路由器和防火墙逻辑成多台进行转发
单出口
如果没有配置监控,则匹配上策略路由的流量发现下一跳不可达,则将直接丢弃数据
包;如果可开启了检测,检测发现目标下一跳不可达,则将使该策略不生效,则直接不
匹配流量,数据包将直接走路由表。
3.智能选路
--- 全局选路策略
1,基于链路带宽进行负载分担
如果一条链路超过了过载保护阈值,则该链路不再参加智能选路(如果已经创建了会话
表的流量,则将依然走该链路。),将在剩下链路中继续进行智能选路。
基于源IP的会话保持 --- 来自同一个源IP或者同网段源IP的流量将始终使用同一个出接口
转发,适用于对链路切换敏感的场景
基于目的IP的会话保持 --- 访问同一个目标或者相同的目标网段,流量将始终使用同一
个出接口转发,适用于对链路切换敏感的场景
2,基于链路质量进行负载分担
1,丢包率 --- 防火墙会连续发送若干个(默认5个)探测报文,去计算丢包的比
例。(丢包个数/探测报文个数) --- 丢包率是最主要的链路质量参数
2,时延 --- 防火墙会连续发送若干个(默认5个)探测报文,取五次往返时间的平均值
作为时延参数。
3,延时抖动 --- 防火墙会连续发送若干个(默认5个)探测报文,取两两之间时延差值
的绝对值的平均值。
3,基于链路权重的负载分担
权重值由网路管理员手工指定
4,根据链路优先级的主备备份
优先级也是由网络管理员手工指定
如果没有配置过载保护,则优先级最高的先工作,当该链路故障,则次高的开始工作,
其余继续备份,以此类推;
如果配置了过载保护,则优先级最高的先工作,当超过保护阈值,则次高的开始工作,
其余继续备份,相当于此时两条链路同时工作,以此类推。
DNS透明代理