路由
路由指利用网络层协议将数据包从源主机通过寻址方案最终转发到目标主机的过程,实现不同网段间网络节点的互连互通
直连路由
指路由接口所连接子网的路由,随路由接口的启用自动生成。
静态路由
基于数据报文的目的地址选路。由管理员手动添加,具有简单、稳定、安全、不随网络的变化而自动更新特征,网络故障或网络结构发生变化时,需由管理员手动修改,因此,静态路由适用于网络结构较简单的网络。
策略路由
可基于数据报文的源地址/端口、目的地址/端口、协议和应用等条件选路。由管理员手动添加,具有不随网络的变化动态更新、可精细控制路由选路行为等特征。
策略路由可针对具体的应用流量进行选路,能根据源地址和源端口、目的地址和目的端口、协议、应用、用户来确定报文的转发路径,可使不同类型的流量分别走不同的链路,达到保证类应用走优质链路,非保证类应用走另外链路的目的。此外,策略路由还可根据其度量值和权重值属性实现多链路的负载均衡和链路备份。
ISP路由
ISP(Internet Service Provider)是向广大用户提供互联网接入服务和增值业务的互联网服务提供商。当用户可以通过多个ISP接入网络时,为避免跨运营商网络通信影响通信效率,通过ISP路由,即对数据包根据目的ISP选择出接口,可以大大提高网络的访问速度。
动态路由
动态路由协议通过路由信息的交换生成并维护转发引擎所需的路由表。当网络拓扑结构改变时动态路由协议可以自动更新路由表,并负责决定数据传输最佳路径。
在动态路由中,管理员不再需要与静态路由一样,手工对路由器上的路由表进行维护,而是在每台路由器上运行一个路由协议。这个路由协议会根据路由器上的接口的配置(如IP地址的配置)及所连接的链路的状态,生成路由表中的路由表项。
路由重发布是指将通过其他路由协议学习到的路由信息通告到路由表中。当NGFW运行不同路由协议的边界时,为确保运行不同路由协议的区域间能进行信息交互,需运用路由重发布技术使不同的路由协议学习到彼此的路由信息。
ARP(Address Resolution Protocol,地址解析协议)
ARP(Address Resolution Protocol,地址解析协议)是根据IP地址获取MAC地址的TCP/IP协议。以太网设备在发送数据包前需封装第二层报头(包含MAC地址)和第三层报头(包含IP地址),封装数据包中MAC地址的依据为ARP表。以太网设备封装数据包时通过查询ARP表确定MAC地址。如果ARP表中存在目的IP地址对应的MAC地址,直接封装数据包;否则,则通过ARP协议根据已知目的IP地址解析出IP地址对应的MAC地址,再进行封装数据包。
主机根据ARP协议获取目的IP地址对应的MAC地址时,根据目的地址与主机是否处于同一个网段,处理方式不同(以PC A向PC D发送数据报文为例)。
NAT
网络地址转换(Network Address Translation,简称NAT)是将IPv4报文头中的IPv4地址转换为另一个IPv4地址的技术,这种技术被普遍应用于公网用户访问受保护私有网络中的资源服务器,以及有多台主机但只能通过少量公有IPv4地址访问因特网的私有网络中。
SNAT 源地址转换
SNAT(Source Network Address Translation,源地址转换),转换数据报文的源IP地址,可隐藏主机真实的IP地址。主要应用于使用私网IP地址的内网用户访问Internet,在此网络应用环境下,私网用户数据包经过NGFW时,NGFW通过将数据包的私有源IP地址转换为公有IP地址,不仅可隐藏内网主机真实IP地址,还使响应报文在公网中有路由,实现使用私有IP地址的内网主机成功访问Internet的目的。
作用:将内网ip隐藏,转换为公网ip访问
DNAT
DNAT(Destination Network Address Translation,目的地址转换),转换数据报文的目的IP地址。主要应用于公网用户访问使用私网IP地址的局域网资源,在此网络应用环境下,公网用户的数据报文通过局域网边界的NGFW时,NGFW将数据包的目的IP地址转换为内网资源服务器真实的IP地址,实现公网用户成功访问内网资源的目的。
作用:将公网ip转换为对应内网ip,以便找到对应虚机
VPN(Virtual Private Network,虚拟私有网)
VPN(Virtual Private Network,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建虚拟专用网络,达到与专网同等的安全性,而且在维护及价格上相对于专网而言占有极大的优势。“虚拟”指这种网络是一种逻辑上的网络,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
