Hillstone SA路由介绍及ISP路由配置

发布:刘苏平 | 发布时间: 2008年10月13日

路由介绍

路由是将数据包从一个网络转发到另一个网络中的目的地址的过程。路由器是处在两个网络之间转发数据包的设备。路由器根据路由表中储存的各种传输路径传输数据包，每一个传输路径即为一个路由条目。

Hillstone SA 系列安全网关具有三层路由功能，通过VRouter，进行路由配置，对不同的数据包进行转发。SA 系列安全网关支持静态路由（Static Routing）、ISP路由、源路由（ Source-Based Routing ，简称SBR ）、源接口路由（Source-Interface-Based Routing，简称SIBR）、策略路由（Policy-Based Routing，简称PBR）、动态路由（包括RIP 和OSPF）和等价多径路由（Equal Cost MultiPath Routing，简称ECMP）。

♦ 静态路由：手工配置的、根据目的IP 地址确定下一跳的路由。
♦ ISP 路由：根据不同的ISP 确定下一跳。
♦ 源路由（SBR）：根据数据包的源IP 地址，选择路由，进行转发。
♦ 源接口路由（SIBR）：根据数据包的源IP 地址和入接口，选择路由，进行转发。
♦ 策略路由（PBR）：根据数据包的源IP 地址、目的IP 地址以及服务类型，选择路由，进行转发。
♦ 动态路由：设备按照动态路由协议（RIP 或OSPF）自动生成的动态路由表项对数据包进行路由选择并转发。
♦ 等价多径路由（ECMP）：到达相同目的IP 地址或网段的数据流量在多条相同管理距离的路径上进行负载均衡。

当安全网关对进入的数据包进行转发时，按照这样的顺序选路：策略路由􀃆源接口路由􀃆源路由􀃆目的路由/ISP 路由/动态路由。

VRouter

VRouter 的功能与路由器相同，并且拥有自己的路由表。StoneOS 目前支持一个VRouter，即trust-vr。SA 系列安全网关的所有路由配置都需要在VRouter 配置模式下进行。

静态路由

静态路由是手工定义的路由条目，根据目的地址指定下一跳，因此也称作目的路由。对外连接较少或者内网连接相对比较稳定的网络通常使用静态路由。用户可以根据需要确定是否添加默认路由条目。

ISP 路由

很多用户通常会申请多条线路进行流量负载均衡。然而，一般的均衡是不会根据流量的流向做均衡的，如果网通的服务器通过电信访问，网速就会很慢。SA 系列安全网关针对该问题，提供ISP 路由功能，使不同ISP 流量走专有路由，从而提高网络速度。

配置ISP 路由，用户首先需要将子网条目添加到一个ISP，然后才可以配置以ISP 名称为目的地的ISP 路由。用户可以自定义ISP 信息，也可以上传ISP 包含不同ISP 信息的配置文件。同时StoneOS 提供一个预定义ISP 配置文件，包含两个ISP，分别是中国电信（China-telecom）和中国网通（China-netcom）。

配置ISP 路由，用户需要进行的操作如下：

♦ 配置ISP 信息
♦ 配置ISP 路由
♦ 上传ISP 配置文件
♦ 查看ISP 路由配置信息
♦ 删除已上传的预定义ISP 配置文件

配置ISP 信息

在设备上配置ISP 信息，首先需要进入ISP 信息配置模式。在全局配置模式下，使用以下命令，创建ISP 名称并且进入ISP 信息配置模式：

isp-network isp-name

♦ isp-name – 指定ISP 名称。

在全局配置模式下，使用该命令no 的形式删除指定名称的ISP：

no isp-network isp-name

为ISP 添加子网条目，在ISP 信息配置模式下，使用以下命令：

subnet A.B.C.D/M

♦ A.B.C.D/M – 为ISP 指定子网，格式为IP 地址/掩码，例如1.1.1.0/24。

在ISP 信息配置模式下配置多条该命令，为ISP 添加多个子网。

在ISP 信息配置模式下使用该命令no 的形式删除指定的子网：

no subnet A.B.C.D/M

配置ISP 路由

ISP 路由需要在VRouter 配置模式下进行配置。进入VRouter 配置模式，在全局配置模式下使用以下命令：

ip vrouter vrouter-name

♦ vrouter-name – 指定VRouter 的名称。StoneOS 目前仅有trust-vr 一个VRouter。

在VRouter 配置模式，使用以下命令配置ISP 路由条目：

ip route isp-name {A.B.C.D | interface-name} [distance-value] [weight weight-value]

♦ isp-name – 指定系统中已存在的ISP 名称作为路由的目的地址。
♦ A.B.C.D | interface-name – 指定下一跳。可以是网关地址（A.B.C.D）或者接口（interface-name）。当下一跳为接口时，用户可以选择隧道接口名称，Null0 接口或者PPPoE 接口。
♦ distance-value – 指定路由的管理距离大小。该参数设定路由的优先级，取值越小，优先级越高，而在有多条路由选择的时候，优先级高的路由会被优先使用。取值范围是1 到255，默认值为1。当路由距离为255 时，该路由无效。
♦ weight weight-value – 指定路由权值的大小。路由权值决定负载均衡中流量转发的比重。范围是1 到255，默认值是1。

使用多条该命令添加多条ISP 路由条目。
使用以上命令no 的形式删除指定的ISP 路由条目：
no ip route isp-name {A.B.C.D | interface-name } [distance-value] [weight weight-value]

上传ISP 配置文件

ISP 配置文件的上传只能通过WebUI 来完成。SA 系列安全网关支持两种ISP配置文件，分别是用户自定义ISP 配置文件和系统预定义配置文件。下面实例中所示实例格式书写用户自定义配置文件，否则，即使文件上传成功，也不可以在系统中生效。预定义/用户自定义配置文件中包含的ISP 的个数最多为26 个，也就是作为索引值的26 个英文字母的个数。

用户自定义ISP 配置文件实例
E --- China-55
R --- China-66
# China-55
E:55.10.2.0/24
E:55.10.3.0/24
# China-66
R:66.20.2.0/24
R:66.20.3.0/24

上传预定义ISP 配置文件

StoneOS 的预定义ISP 配置文件为加密形式。Hillstone 更新预定义ISP 配置文件后，用户需要重新上传新的预定义ISP 配置文件。步骤如下：

1. 访问页面“网络􀁨路由􀁨ISP 信息”。
2. 点击<从电脑上传预定义的ISP 配置文件>相应的『浏览』按钮并选中预定义ISP 路由配置文件。
3. 点击『上载』将文件上载到设备。<版本>处将显示导入的预定义ISP 路由配置文件的版本号。

上传用户自定义ISP 配置文件

请按照以下步骤上传自定义ISP 配置文件：
1. 访问页面“网络􀁨路由􀁨ISP 信息”。
2. 点击<从电脑上传用户定义的ISP 配置文件>相应的『浏览』按钮并选中预定义ISP 路由配置文件。
3. 点击『上载』将文件上载到设备。