3IP路由PPT课件下载推荐.ppt

3IP路由PPT课件下载推荐.ppt

《3IP路由PPT课件下载推荐.ppt》由会员分享，可在线阅读，更多相关《3IP路由PPT课件下载推荐.ppt（27页珍藏版）》请在冰豆网上搜索。

因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，并且如果是三层安全域，还需要为接口配置IP地址。

然后，必须配置相应的策略规则，允许流量在不同安全域中的接口之前传输。

多个接口可以被绑定到一个安全域，但是一个接口总不能被绑定到多个安全域。

接口类型,绑定关系,接口、安全域、Vswitch和VRouter之间的关系接口绑定到安全域。

绑定到二层安全域的接口为二层接口，绑定到三层安全域的接口为三层接口。

安全域绑定到VSswitch或者VRouter。

二层安全域绑定到VSwitch，三层安全域绑定到VRouter。

由此，也实现了接口与VSwitch或者VRouter的绑定。

策略策略则通过策略规则决定从一个安全域到另一个安全域的那些流量被允许，那些流量该被拒绝。

域间策略：

域间策略对安全域间的流量进行控制。

可通过设置域间策略来拒绝、允许一个安全域到另一个安全域的流量。

域内策略：

安全域内策略对绑定到同一个安全域的接口间流量进行控制。

源地址和目的地址都在同一个安全域中，但是通过安全网关的不同接口到达。

虚拟交换机（vswitch）,一个VSwitch就是一个二层转发域每个VSwitch都有自己独立的MAC地址表VSwitch中的接口之间的数据包会被按照二层转发规则进行转发。

在VSwtich中，用户可以方便地配置策略规则。

VSwitch接口相当于实际交换机的上连口，通过VSwitch接口，数据包可以实现二层与三层之间的转发。

虚拟交换机（vswitch）,在一个VSwitch，即一个二层转发域中，DCFOS安全网关通过源地址学习建立MAC地址转发表。

每个VSwitch都有自己的MAC地址转发表。

DCFOS根据数据包的类型（IP数据包ARP包和非IP且非ARP数据包），分别进行不同的处理。

对未知单播的转发采用策略限制下的广播对于非IP包且非ARP包，用户可以在全局配置模式下通过配置l2-nonip-action命令指定处理方式。

l2-nonip-actiondrop|forward-drop丢弃-forward-转发,透明模式,为实现透明应用模式，需要根据策略规则创建一些二层安全域，并且把接口绑定到二层安全域上，同时将二层安全域绑定到VSwitch。

可以创建多个VSwitch，即多个二层转发域。

透明应用模式有以下优先：

无需修改收保护网络的IP设置。

无需为进入受保护网络的报文创建NAT规则,路由模式,接口配置在三层安全域上配置接口IP地址、基于安全域的策略规则在这种情况下，设备具有路由功能通常需要配置NAT规则地址转换功能,混合模式,部分接口绑定在二层安全域上，部分接口绑定到三层安全域上给VSwitch接口和三层接口均配置IP地址,接口配置（二层模式）,WebUI方式：

网络接口CLI方式：

DCFW-1800（config）#intethernet0/2DCFW-1800（config-if-eth0/2）#zonel2-trust选择二层安全域，接口会自动绑定相应的vswitch,接口配置（三层模式）,WebUI方式：

接口配置（高级配置）,WebUI方式：

网络接口,议程：

IP路由,工作模式及系统构架路由配置,路由配置,静态路由（目的路由）源路由（SBR，SIBR）策略路由（policy-basedRouting）,VRouter,VRouter的功能与路由器相同，维护自己的路由表DCFOS可以支持多个VRouter，默认VR为trust-vr路由配置需要在VRouter配置模式下,目的路由,静态路是手工定义的路由条目，根据目的地址指定下一跳，也称作目的路由对外连接较少或者内网连接相对比较稳定的网络通常使用静态路由默认路由是静态路由的一种通过WebUI配置静态路由，如下图：

网络路由目的路由只有下一跳是Tunnel、Null、PPPOE时，才指定“接口”方式的路由,配置目的路由（CLI）,在全局配置模式下使用以下命令：

ipvroutertrust-vr进入到VRouter配置模式下在VRouter配置模式下使用以下命令：

iprouteA.B.C.D/M|A.B.C.DA.B.C.DA.B.C.Dinterface-namedistance-valueweightweight-value-A.B.C.D/M|A.B.C.DA.B.C.D-指定目的地址-A.B.C.D|interface-name指定下一跳网关地址（A.B.C.D）或者接口（interface-name）接口仅限隧道接口，Null0接口或者PPPOE接口等点对点类型的接口-distance-value指定路由的管理距离大小取值越小，优先级越高-weightweight-value-指定路由权值的大小。

决定负载均衡中流量转发的比重。

ISP路由,内置中国电信（China-telecom）和中国网通（China-netcom）ISP路由表配置ISP路由表iprouteisp-nameA.B.C.D|interface-namedistance-valueweightweight-valueisp-name指定系统中已村在的ISP名称作为路由的目的地址A.B.C.D|interface-name指定下一跳。

源路由和策略路由,源路由（SBR）：

根据数据包的源IP地址，选择路由，进行转发源接口路由（SIBR）：

根据数据包的源IP地址和入接口，选择路由进行转发策略路由（PBR）：

检查数据包的源IP、目的IP和服务类型对匹配策略的数据包的下一跳进行指定。

路由选路顺序：

策略路由-源接口路由-源路由-目的路由,动态路由,动态路由是根据网络系统的运行情况而自动调整的路由DCFSO支持RIPOSPFBGP,小结,在本章中讲述了以下内容：

系统构架运行模式配置路由配置,问题,1、路由优先级与路由权值的作用分别是什么？

2、路由选路顺序？