Netscreen防火墙流量管理原理与配置

network

Netscreen防火墙流量管理原理与配置

当企业把越来越多的核心业务转移到信息系统中时，网络带宽逐渐成为企业最宝贵的资源。如何合理并充分利用有限的带宽资源（尤其是专线和Internet接入带宽），给网络管理人员带来了一项新的挑战。

Netscreen防火墙流量整形机制通过ASIC硬件实现高效的流量管理功能，可以在接口或通过策略提供灵活的流量控制能力。可为不同类型的网络应用提供最小保证带宽和最大可用带宽，并依据业务的重要性定义相应的优先处理级别，在拥塞发生时保证关键业务流量优先转发，同时不会对其余业务流量带来明显负面影响。本文对Netscreen防火墙流量整形机制和配置方法进行较系统的介绍。

Netscreen流量整形原理

Juniper公司自主研发的Netscreen流量整形方案通过硬件实现高效的流量整形功能，为关键流量提供带宽保证和高优先级响应，能够为突发流量提供平滑的整形机制，最大限度地利用网络带宽。

单一令牌桶流量整形

在网络发生拥塞情况下，令牌桶机制能够保证业务获得基本的可用带宽，避免业务流量因网络拥塞而中断，令牌桶工作原理如下图所示：

启用流量整形功能后，按照应用分类获得各自的令牌桶，并按照特定的速率往令牌桶中存放令牌，即：每类应用将获得指定的最小保证带宽。当桶中的令牌数量满足数据包传输要求时，数据包通过消耗相应数量令牌而得以转发，数据包完成转发后相应数量的令牌将被清除出令牌桶。当令牌桶中令牌数量不满足数据包对带宽要求时，数据包在缓存队列中处于等待状态，直到有足够的令牌供其消费。令牌桶机制有效地保证了业务所需的可靠带宽，同时容许一定的流量突发（如果令牌桶中还有剩余令牌的话），但是我们也看到令牌桶机制未能够充分利用网络带宽资源，如果持续的令牌流将令牌桶注满（如果没有数据包要转发或转发数据包数量少于单位时间内令牌注入的数量），溢出的令牌将被丢弃。

双令牌桶拥塞控制机制

为充分利用有限的带宽资源，避免溢出令牌的白白浪费，可以采用双令牌桶机制将溢出的令牌进行再利用，双令牌桶工作原理如下图所示：将流量分类，每类流量均有属于自己的令牌桶，同时提供一个公用令牌桶，分类流量令牌桶空闲时溢出的令牌将被放到公用令牌桶中，供突发流量使用。

令牌的数量满足数据包传输需求时，数据包消耗对应数量令牌后得以转发。当桶中令牌数量小于包的大小时，消耗公用令牌桶中令牌进行数据包转发（公用令牌桶中需有满足数据包转发需要的令牌），如公用令牌桶中没有足够的可用令牌，数据包将在缓存队列中进行等待，直到有足够的令牌供其消费。双令牌桶机制在保证业务可用的基础上，提供了良好的流量突发处理机制，充分利用网络带宽资源。但是我们应看到，具有相同优先级设置的应用将以轮询方式竞争带宽，业务的优先级和吞吐量需求在这里并没有得到充分考虑。

Netscreen拥塞控制机制

Netscreen自有专利的拥塞控制机制主要要素有：基于策略对应用进行分类，根据每类应用分配最大带宽和保证带宽，基于应用的优先级使用共享带宽。Netscreen自主流量整形机制如下图所示。

1、根据策略分类应用，分别为每类策略定义最小保证带宽和最大可用带宽。当业务流量突发超过最小保证带宽且低于最大可用带宽时，各类突发流量在共享带宽中严格根据优先级决定包的转发。

2、基于策略定义的业务流量不应超过最大可用带宽，当数据包数量超过最大带宽时，将在队列中等候，直到获得足够令牌后转发，或获得共享带宽后转发。

3、如果数据包超过最小带宽但低于最大带宽，多余的数据包将被放到共享带宽中进行排队，严格根据优先级决定转发包转发次序。

这种2+1模式的令牌桶机制为流量管理提供了灵活控制机制，最大限度地利用了带宽资源。

Netscreen流量整形配置

Netscreen通过两种方式启用流量整行功能，一种是在物理接口上做带宽管理，对所有进来或出去的流量定义最大可用带宽，采用单令牌桶控制机制。通过策略进行带宽管理可配置最小保证带宽、最大可用带宽及优先级。每个策略可得到其保证带宽并基于优先级共享剩余的带宽 (直至达到其最大可用带宽限制)。

1、物理接口带宽限制配置：（适用于zone中单一接口环境下）

CLI命令行方式：

set traffic-shaping mode on 打开流量整形功能

set interface ethernet1 bandwidth ingress mbw 5000 （单位KB）

set interface ethernet1 bandwidth egress mbw 2000

配置完成后使用，使用下面命令显示当前端口实际吞吐量。

get traffic-shaping interface eth1

WEB页面方式：

使用web页面配置接口带宽限制更为方便，先在WEB页面configuration－advanced traffic shaping中打开流量整形功能，然后在network-interface界面下直接配置带宽参数。

配置完成后用get traffic-shaping interface eth1命令查看限制结果。

2、基于策略的带宽限制配置：

set traffic-shaping mode auto动态开启流量整形功能，允许系统在策略需要时开启信息流整形，在策略不需要时将其关闭。

set policy name "Marketing" from trust to untrust marketing any

any permit traffic gbw 10000 priority 0 mbw 15000

设置Marketing部门的地址保证带宽10M（gbw）、最大带宽15M（mbw）、优先级为0（最高）。

注：具有相同优先级设置的策略将以轮询方式竞争带宽。

set policy from untrust to trust 1.1.1.1/32 2.2.2.0/24 ftp permit traffic gbw 1000 priority 0 mbw 2000设置基于地址和应用的保证带宽、最大带宽和优先级。

set policy my_ftp from untrust to trust any any ftp permit traffic pbw 10000 在untrust入口设置到trust区的ftp最大带宽为1M(pbw管制带宽，等同于最大带宽mbw，两者不可同时使用)。

network

Juniper防火墙设备恢复处理方法  


      为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。
      1、设备重启动：
      Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。
      2、操作系统备份：
      日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。
      3、操作系统恢复：
      当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统。
      1)、 命令行方式：save software from tftp x.x.x.x filename to flash；
      2)、 web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。
      4、配置文件备份：
      正常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种：
      1)、 启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。
      2)、 通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。
      3)、 通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。
      5、配置文件恢复：
      防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种：
      1)、 tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。
      2)、 通过web页面进行配置文件恢复：Configuration > Update > Config File，选中Replace Current Configuration，并从本地设备中选中供恢复的备份配置文件，点击apply后系统将进行重启动使新配置生效。
      3)、 超级终端远程telnet/ssh到防火墙，通过unset all 命令清除防火墙配置，并进行重启，重启后将备份的配置命令粘贴到防火墙中。
      6、恢复出厂值：
      console线缆连接到防火墙，通过reset命令对防火墙进行重启，并使用防火墙的16位序列号作为账号/口令进行登陆，可将防火墙配置快速恢复为出厂值。

network

关于Juniper 防火墙设备 虚拟路由和策略路由的应用说明  


      在Juniper防火墙设备的OS中，集成了虚拟路由和策略路由功能，在一般的情况下，这两个功能都很少使用，但是，在某些特殊的环境中就需要这两个功能的应用了。
      虚拟路由在逻辑上，可以看做是一个独立的路由器，并有独立的路由列表。在Juniper防火墙的OS中，默认有两个虚拟路由：trust-vr和untrust-vr。防火墙中的各种基于流量转发的安全区（ZONE），则默认工作在trust-vr中。
      虚拟路由的功能在一些特殊的环境下，可以将一个独立的多端口防火墙，在逻辑上作为两台独立的防火墙使用（不启用虚拟系统：VSYS），则两个拥有独立路由列表的安全设备可以拥有各自独立的外网线路，并且，互相之间不受影响。
      策略路由，在Juniper的防火墙中也被称为源地址路由，该路由的作用是：对内部地址外出访问互联网或其它网络时，进行外出线路选择。
      策略路由一般的应用环境是：在防火墙设备实现多链路接入应用并有负载分配需求时，对内部网络IP地址的外出访问互联网时进行人为指定方式的外出链路选择。策略路由的优先级别在默认的情况下为最高，所以在使用策略路由时，如果防火墙设备还定义了基于trust-vr的DMZ区应用时，一定会受到策略路由优先的影响，从而导致对DMZ区访问的失败。为了解决这个问题，则需要对防火墙的安全域进行调整，从而，应用到了另外一个虚拟路由：untrust-vr。
      具体的实例说明：
      某客户的网络环境描述：电信和网通的两条专线连接，内部有若干台服务器，若干台内部办公计算机。
      某客户的网络应用需求：
      1、服务器需要与内部办公网络进行隔离；
      2、内部办公网络中的计算机在访问互联网时，指定部分计算机强制使用网通线路，部分计算机强制使用电信线路。
      3、实现访问控制。
      仔细分析客户的网络环境和应用需求我们可以知道确定防火墙应用中的如下信息：
        1）防火墙设备要工作在三层的NAT/ROUTE模式下。
        2）客户有双链路和链路负载分配的需求，则要求防火墙设备在进行配置时，要对连接两条外网线路的接口定义一个统一的untrust安全域，如此，可以实现外出链路的自动负载分配。同时，因为需要强制指定部分内部计算机在外出时由指定链路外出，则防火墙设备中应该启用策略路由
        3）内部的服务器所在的网络需要与内部办公网络进行隔离，则防火墙的配置中，应该启用DMZ区域，使服务器所在的网络位于DMZ区域中，并在物理和逻辑上实现隔离。
        4）实现访问控制。
      由上述的应用分析中，我们客户发现，防火墙在部署的过程中应用了策略路由，而且，还有DMZ区的应用，那么，就会出现我们前面提到的，在一般情况下配置策略路由时将会出现的问题：因为策略路由的优先导致的无法访问DMZ的问题。
      如何解决这个问题呢？下面我们提供解决办法。
      我们假设客户采用的防火墙设备是Juniper SSG 550网络安全防火墙设备，该防火墙设备的基本配置是：4个千兆以太网接口，所有的安全域在默认情况下全部工作在trust-vr中，防火墙的OS版本为：5.4.0R2.0。
      首先，我们规划四个以太网接口所连接的各自的功能网络，定义Eth1为连接内部办公网路的接口，安区域为：trust；定义Eth2为连接服务器所在网络的接口，安区域为：DMZ；定义Eth3为连接网通线路的接口，安全域为：untrust；定义Eth4为连接电信网络的接口，安全域同为：untrust。
      其次，修改untrust安全域所在的虚拟路由关系，将untrust由trust-vr中修改到untrust-vr中，如此配置，则保证的内部网络和外部网络在路由列表中就是独立的关系了。
      然后，按照上述规划，将各自安全域绑定设置到防火墙的各个物理端口上，配置各个端口的IP地址；因为连接电信和网通的接口的安全域是untrust，同时，该安全域又在untrust-vr虚拟路由中，则定义访问互联网的默认路由必须在untrust-vr中进行配置。Trust和dmz安区域则工作在trust-vr中，此时，trust-vr和untrust-vr之间因为没有路由关系，则它们之间是无法进行数据转发的，因此，我们需要在trust-vr中配置一条默认外出路由，路由指向：untrust-vr；
      最后，策略路由也必须工作在确定的路由列表中，因此，在此配置中，我们需要将策略路由定义在untrust-vr路由表中，指定部分IP地址由电信线路外出，另外部分IP由网通线路外出。如此配置可以保证，在trust-vr中，内部办公网络可以不受策略路由的影响，正常的访问dmz区的服务器资源；同时，也可以实现内部IP地址在访问互联网时，由untrust-vr中的策略路由进行线路指定。
      总结：在Juniper防火墙OS中，策略路由的优先级是最高的，但是，策略路由不能够影响到跨路由表的应用，所有，在此种类型的应用中，我们推荐使用了双untrust安全域的应用和双虚拟路由的应用，并且在untrust-vr中，设置使用策略路由，实现了多链路负载分配的应用。