华为云首页用户手册

华为乾坤-网络:背景信息

时间：2024-04-08 15:36:16

华为乾坤防火墙业务配置

背景信息

上行链路IP-Link
当前企业通常以双上行链路方式接入Internet，以保证链路的稳定。IP-Link是指防火墙通过向指定的目的IP周期性地发送探测报文并等待应答，来判断上行链路是否发生故障。

当上行链路出现故障时，防火墙不能将流量切换到备份链路上。故希望通过与IP-Link联动，检查链路的有效性。当发现所在链路出现故障时，则将业务流量切换到备份链路上。当链路从故障中恢复，防火墙能连续地收到响应报文，则认为链路故障已经消除。则将业务流量切换到主用链路上。
DNS
在防火墙上配置DNS相关功能，通过防火墙接入网络的设备能通过DNS服务器识别某些域名，自动将其解析为对应的IP地址。DNS技术实现了域名和IP地址的相互映射，可以使用户能更方便地访问互联网，无需记忆具体的IP地址。DNS客户端在接入网络以后，将DNS请求发送到DNS中继/代理：
- 对于DNS代理，会先查询本地域名缓存表。如果能查到对应的域名解析结果，会直接将应答返回给DNS客户端；否则会将请求报文转发给DNS服务器，由DNS服务器执行域名解析。
- 对于DNS中继，则直接将请求报文转发给DNS服务器，由DNS服务器执行域名解析，并将应答报文转发回DNS客户端。
NAT
在防火墙上开启NAT映射（缺省情况下已启用），使下行网络中的设备能以防火墙WAN口的IP地址访问Internet。

NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。防火墙支持基于出接口地址方式的NAT（又称为EasyIP），租户网络中的设备可以直接借用防火墙公网接口的IP地址访问Internet。
子网
 通过防火墙接入网络的设备能从防火墙自动获取IP地址，从而实现与防火墙上行网络的互通。
- DHCP服务器
   负责为DHCP客户端动态分配IP地址等网络参数的设备。
- （可选）DHCP中继
   如果DHCP客户端和DHCP服务器不在同一个网段，可以通过DHCP中继与DHCP服务器通信，从而获取到合法的IP地址。通过部署DHCP中继可以使多个网段的设备共用一个DHCP服务器，降低成本，便于集中管理。
- DHCP客户端
   通过DHCP协议以广播方式发送报文请求获取IP地址等网络参数的终端设备。例如PC、手机、IP电话、无盘工作站等。