华为防火墙多外网出口的解决方案（什么是选路）

 作者：网络之路一天  首发公众号：网络之路博客（ID：NetworkBlog）

前言

  如今的互联网时代，企业对于网络的要求越来越高，不管是从带宽还是可靠性方面考虑，会想运营商租用两条（甚至多条）的外网带宽，可能是同一个ISP的，也可能是不同的ISP的，随之带来的问题就是多条外网线路如何去规划、配置成了一个头疼的事情，接下来博主会从多方面讲解关于选路的内容，相信学习完选路的专题后对于规划、配置都有很大的帮助。

 

什么是选路？

在之前的内容里面除了在NAT server中涉及到有多外网线路以外，其余的场景都是以单外网线路进行讲解的，也是家庭、中偏小、SOHU组网中比较常见的现象，单外网线路部署很简单，直接一条默认路由解决了任何烦恼，因为就一个出口，不管好还是坏只能从这个出口出去，但是一旦有了2条外网线路那情况就不一样了。上面提到过拉两条线路的作用主要是考虑到一条带宽不足以及一条如果出现故障后导致网络业务中断，那么从企业部署双线路的角度出发考虑，那么拉的线路必须起到冗余的作用，并且能够同时利用是最好，但是它带来的一个很重要的问题那就是选路！！那么什么是选路呢？

一个简单的实验环境，pc1想要访问www.baidu.com，从图可以看到它通了，这里我们不去分析它怎么通过防火墙的，主要从选路角度来看看它怎么通的，当pc1需要访问www.baidu.com的时候

（1）pc1需要发起DNS解析，来解析www.baidu.com的IP是多少，那么这里DNS是通过DHCP下发的

（2）PC1知道去询问谁来解析这个域名的时候，就会会把这个数据包发送给防火墙，那么为什么它就知道要给防火墙呢？

因为在网卡参数里面有一个叫做默认网关 192.168.10.1存在，所以PC1知道给把数据包交给谁，那么这个默认网关的作用就是在帮助PC1进行选路（192.168.10.1就是防火墙，最终会丢给防火墙处理）

 

（3）防火墙收到以后，它会执行路由表查询，去查询223.5.5.5在哪

防火墙对接外网由于是DHCP方式，上级设备下发了默认路由给防火墙，防火墙自然能够通过这条默认路由进行选路出去，交给192.168.255.254，最终一层一层的完成DNS查询以及百度的访问。

 

可以发现这里选路的作用就是能够让设备能够正常的把数据包发送出去，完成访问，能够让设备知道如何去选路是由默认路由（网关）来实现的。

来上图看看这样的环境，企业拉了两条外网，一个是电信的一个是联通的，这个时候client想要去访问百度、163的时候数据包到达防火墙，防火墙就会犯困了，面对两条外网线路，它不知道该如何去选择，到底是交给电信还是交给联通呢？在单出口的时候已经了解过，它取决于防火墙上面的路由表具体走哪个出口出去，这个时候根据网络管理用配置的不同就会出现几种情况。

 

传统方式：早期的解决方案

（1）负载均衡：有两条默认路由同时存在路由表，防火墙通过算法自动选择一条线路出去。

（2）主备模式：配置了优先级，比如默认走电信，联通备用。

（3）基于内网的“负载分担”：比如某几个网段走电信，某几个网段走联通

（4）基于ISP选路：比如电信走电信、联通走联通

 

智能选路方式：目前华为防火墙的解决方案

（1）链路带宽负载分担：可以按照带宽速率不同，按一定比例进行分配，让链路都能充分利用

（2）链路质量负载分担：可以根据丢包率、抖动、时延综合考虑选择最优的线路出去。

（3）链路权重负载分担：类似于带宽负载分担，按照不同出口线路的权重进行配置

（4）链路优先级主备备份：可以根据需求定义主备场景/负载分担场景（比如该链路的流量已经用到了阀值80%，则自动切换到另外一条）

（5）基于应用的选路：可以根据应用APP来选择走对应的线路，比如迅雷下载走普通宽带，其余的走专线。

 

不管是早期的解决方案还是目前华为主流的解决方案针对客户不同的使用场景，我们都可能会用到，接下博主会用几个篇幅来讲解下常见的应用场景，以及在这些场景下面使用哪种解决可以解决。

 

“承上启下”

从上面已经了解到了选路方式其实很多，那么每种方式的作用也大致了解了下，但是在选路之前还有一个问题是我们需要解决的，那就是在多线路的情况下，防火墙怎么去感知某个线路发生问题，从而让他失效呢？如果不失效，那么对应的流量还是会走这条出问题的线路导致数据流量转发失败，可以先想想哦_{答案下面一篇认真学，可以解决这个疑问！} 

 

作者：网络之路一天，公众号：网络之路博客（ID：NetworkBlog）。让你的网络之路不在孤单，一起学习，一起成长。

原创作者: ccieh3c 转载于: https://blog.51cto.com/ccieh3c/11651008