qq_27599713的博客

Agile Controller-Campus系统包括：业务管理器（Service Manager，简称SM）、业务控制器（Service Controller，简称SC）以及客户端，网络接入设备（Network Access Device，简称NAD）作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行。业务管理器 Service Manager（SM）SM承担业务管理的角色，向已经连接的SC发送实施指令，完成各种业务配置。

端口镜像功能适合的场景是在不中断业务的前提下抓取，分析会话报文，进行网络问题的定位。端口镜像功能指定业务接口的报文复制到非业务接口。通过查看与非业务接口相连的协议分析仪，在不影响业务的情况下定位问题。业务接口被称为“镜像端口”，非业务接口被称为“观测端口”。根据复制报文的方向，镜像可分为上行镜像和下行镜像两种：①上行镜像：指将镜像端口接收到的全部报文或满足特定流分类条件的报文完整的复制并输出到指定的观测端口。

策略路由会在路由表已经产生的情况下，不按照现有的路由表进行转发，而是根据用户制定的策略进行路由选择的机制，从更多的方面（入接口、安全区域、源/目IP地址、用户、服务、应用）来决定报文如何转发。增加了报文转发控制的灵活度，策略路由并没有替代路由表机制，而是优先于路由表生效。

防火墙数据包的转发流程总体分为三个阶段：（1）查询会话前的基本处理。（2）查询会话，进行相应的处理。（3）查询会话后，对流量进行相应的安全检测处理并转发。由于报文在处理过程中，由于某些特性可能会修改报文的一些字段，因此掌握FW的报文转发流程可以帮助我们对FW的配置和维护。

ISP选路功能也称为运营商地址库选路功能，当FW作为出口网关设备连接多个ISP网络时，通过ISP选路功能可以使访问特定ISP网络的流量从相应出接口转发出去，保证流量转发使用最短路径。

NAT ALG(Application Level Gateway)应用级网关，支持对应用层信息进行相应转换。通常情况下，NAT只对报文的IP头部的地址信息喝TCP/UDP头部的端口信息进行转换而不会关注其报文的载荷信息。但是对于一些特殊的协议（如FTP等多通道协议），其报文载荷中也携带了地址或端口的信息，而载荷的信息通常是双方协商产生的。如果经过NAT后不修改会影响到后续的使用。FW提供了NAT ALG功能，对报文的载荷字段进行解析，识别并转换其中的重要信息，保证FTP的正常使用。

双向NAT指在转换过程中同时转换报文的源信息和目的信息。双向NAT不是一个单独的功能，而是源NAT和目的NAT的组合。双向NAT是针对同一条流量，在其经过防火墙的同时转换报文的源地址和目的地址。

目的NAT将报文中的目的地址和端口进行转换。如图，当外网用户访问内部Server时，FW的处理流程如下：1.当外网用户访问内网Server报文到达FW时，FW将报文的目的IP地址由公网地址转换为私网地址。2.当响应报文返回FW时，FW再将报文的源地址由私网地址转换为公网地址。

源NAT是指将报文的源地址进行转换。如图所示，当私网地址用户访问Internet时，FW将报文的源地址由私网地址转换为公网地址。当响应报文返回到FW时，FW再将报文的目的地址转换为私网地址。根据原地址转换是否转换端口，源NAT分为仅源地址转换的NAT(NAT No-PAT)，源地址和源端口同时转换的NAT(NAPT，Smart NAT，Easy IP，三元组NAT）。

FW1和FW2配置双机热备形成基于VRRP的主备备份，FW1为主设备，FW2为备设备。当FW1发生故障时，FW2切换为主设备。