华为防火墙智能选路:智能选路使用限制和注意事项

华为防火墙智能选路:智能选路使用限制和注意事项

使用display session persistence table命令查看会话保持表项。
智能选路使用限制
    FW不会对到其自身的流量以及从自身发出的流量进行全局智能选路。
    不支持对IPv6流量进行智能选路。当接口同时接收IPv4和IPv6流量时,智能选路模块只会统计和处理IPv4流量。
    当智能选路接口配置了过载保护时,如果同一接口同时存在IPv4和IPv6流量,由于智能选路模块不会统计IPv6流量,可能会出现接口已过载而过载保护功能未生效的情况。
    当流量未命中NAT策略时,如果某链路不符合链路质量指标要求,无论是否开启会话保持功能,新流量在进行智能选路时都会排除该链路,在其他符合链路质量指标要求的链路中进行选路。
    DNS透明代理功能和全局选路策略或策略路由智能选路一起配合使用时,不建议将选路模式设置为根据链路质量负载分担,请选择其他选路模式。如果设置为根据链路质量负载分担,则实际按照链路带宽进行负载分担。
    策略路由特性支持IPv6,但多出口策略路由不支持转发IPv6报文。
    策略路由支持配置跨虚拟系统转发,但只有根系统管理员可以配置报文按照策略路由从一个虚拟系统转发到另一个虚拟系统。虚拟系统管理员无此权限,即无法执行action pbr vpn-instance vpn-instance-name 命令,但可以执行undo action pbr vpn-instance vpn-instance-name。
    策略路由不支持对IPv6报文进行跨虚拟系统转发。

    DNS透明代理和智能DNS不支持IPv6。

智能选路注意事项
    策略路由智能选路不能和IP欺骗攻击防范功能或URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能,可能导致FW丢弃报文。
    在根据链路带宽负载分担的智能选路场景下,如果出接口链路down、过载或者不符合链路质量指标要求,FW将排除该链路。在剩余链路中进行选路时,对于已建立的会话,可能会出现流量分配不均的情况。
    全局选路策略需要对等价路由的所有出接口进行检查,如有等价路由的出接口没有配置为智能选路成员,则整个全局选路策略将不生效。
    开启智能选路会话保持功能会对智能选路功能产生一定的影响。如:
        当某个智能选路接口down后,FW删除所有会话保持表,所有匹配了智能选路策略的流量都将在其他智能选路接口上进行会话保持。当该接口重新up时,只有新上线的用户产生的流量可能会选路到此接口,因此使用该接口转发的流量提升将非常缓慢。这种情况下,可能需要手动清除会话保持表,但会导致部分用户发生链路切换。
        在根据链路优先级主备备份模式下,一旦高优先级接口的流量达到过载保护阈值或者接口所在链路不符合链路质量指标要求,新上线的用户产生的流量将在低优先级接口上进行会话保持,这样,低优先级的接口上可能始终会有流量经过。
        在根据链路优先级主备备份模式下,如果开启了备份接口自动关闭功能,会话保持功能的作用可能很有限,此时只有高优先级接口down或者过载时,低优先级接口的状态才会变为up,当高优先级接口恢复正常后,低优先级接口的状态会变为down,此时使用低优先级接口转发的流量必然发生链路切换。
        启用会话保持功能时,请根据网络流量模型合理设置对应的子网掩码位数,否则可能导致最终各链路上流量负载不均。比如:启用基于源IP的会话保持功能,并设置源子网掩码位数为16,则来自同网段源IP(掩码为16)的流量将始终使用同一出接口转发,如果此时网络中的流量源IP大部分都属于同一网段,即掩码均为16,则会导致大部分流量均通过同一条链路转发。
    FW作为出口网关时,如果企业内网部署了DNS服务器,则DNS透明代理功能不起作用。因为DNS请求报文被转发到内网DNS服务器上进行域名解析,不会通过FW做DNS透明代理。
    DNS透明代理功能和智能选路一起配合使用时,如果需要同时启用DNS透明代理的健康检查和智能选路接口下的健康检查,则配置智能选路接口下的健康检查时,建议探测目的地址配置为接口绑定的DNS服务器地址,探测协议配置为DNS,以确保两处健康检查结果一致,接口链路在正常状态下可以始终支持DNS代理,避免因为DNS请求失败导致业务访问失败。
    一般情况下,DNS透明代理需要和ISP选路一起使用。使用DNS透明代理完成对DNS请求报文的负载分担,并使用ISP选路将报文送到指定的运营商链路。ISP选路功能可以使用户通过目的服务器所属的ISP网络进行访问,防止发生跨ISP网络访问的情况。
    智能DNS功能根据智能DNS映射表修改DNS应答报文,映射表中记录了出接口和替换后的DNS服务器地址的映射关系,替换后的DNS服务器地址必须是公网地址。
    配置健康检查的协议和端口时,要确认对端是否放开了相应的协议和端口,否则检测必然失败。如果对端是网络设备,建议使用icmp协议。
    健康检查的探测报文不受安全策略控制,默认放行,无需配置相应安全策略。
    指定链路健康检查的出接口后,健康探测报文的出接口可能与回应报文的入接口不一致,如果希望出接口和入接口一致,可以同时使用source-ip ip-address命令指定探测报文的源IP地址为出接口的IP地址。
    配置健康检查后,需要保证探测报文和回应报文的路由可达。
    健康检查支持探测IPv6地址,但只能使用ICMPv6协议探测。且不支持指定探测报文的源IP,探测源IP默认为出接口的IPv6地址。
    为防止CPU使用率过高或者接口带宽过载时IP-Link和健康检查的探测报文被丢弃,在非虚拟系统场景下,设备会优先处理IP-Link和健康检查的前10条探测项的探测报文,超过10条后的探测报文按正常流程处理。但在虚拟系统场景下,由于根系统和虚拟系统共享10条被优先处理的探测项的规格,为避免虚拟系统内的IP-Link和健康检查状态震荡,针对跨根系统转发的探测报文,需要在根系统配置引流表(firewall import-flow public或firewall ipv6 import-flow public命令),将访问虚拟系统内的IP地址的报文引入相应的虚拟系统,达到非虚拟系统场景下的效果;针对跨其他虚拟系统转发的探测报文,设备不支持对前10条探测项的探测报文进行优先处理,仍按照正常流程处理。
    在根据链路质量负载分担的情况下,第一次命中策略路由的首包流量,由于链路质量探测表项(通过display priority-of-link-quality table查看)还没生成,会按照等价路由方式转发,同时建立会话表,后续包也会命中会话表直接转发。只有生成链路质量探测表项且首包建立的会话表老化后,后续流量才会按照策略路由方式转发。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙智能选路:智能选路使用限制和注意事项

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!