1. 智能选路应用场景
多出口选路存在的问题
智能选路的类型
- 全局选路策略
当FW上存在多条等价路由时,全局选路策略带宽、链路质量,权重和优先级动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验
- 策略路由
策略路由能够依据用户制定的策略进行数据的转发
- ISP选路(基于ISP路由的选路)
通过ISP选路功能可以实现流量按照运营商转发,使目的地址在不同运营商网络内的流量从对应出接口转发
- 健康检查
FW可以感知服务器或链路的状态变化,保证流量传输不受服务器或链路故障的影响
智能选路的功能组件
2.智能选路的原理描述
2.1 全局选路策略
根据链路带宽进行负载分担
- FW有3条出接口链路,其中与ISP1相连的链路带宽为200M,与ISP2和ISP3相连的链路带宽均为100M,如果根据链路带宽负载分担,当FW转发一段时间流量后,各链路上累计传输的流量将分别占到总流量的50%、25%、25%
- 根据链路带宽负载分担是默认的智能选路方式。当企业从不同ISP处获得多条带宽不等的链路时,为了充分利用各链路的带宽,提高链路的利用率,可以选择此种选路方式
根据链路质量进行负载分担
- 如果采用链路质量负载分担,FW向各个ISP内的指定设备发送5个探测报文,其中ISP1,ISP2和ISP3链路丢包率为0,40%和100%。所以FW判定ISP1的质量最高,将优先使用ISP1链路转发流量,只要探测表项没有老化,FW将一直使用ISP1链路转发流量,不会使用ISP2链路和ISP3链路
- 当企业从不同ISP处获得多条链路时,为了使用户获得最佳的访问体验,需要FW能够根据各链路的实时传输质量动态调整流量的分配,此时可以选择本选路方式
根据链路权重进行负载分担
- FW拥有3条出接口链路属于不同的ISP。其中,管理员设置的ISP1,ISP2和ISP3的链路权重分别为5,3和2,所以权重比例为5:3:2。当FW转发一段时间流量后,各链路上累计传输的流量将分别占到总流量的50%、30%、20%
- 当企业从不同ISP处获得多条性能不等的链路时,为了优先使用转发性能最优的链路,保证大多数用户的访问体验,且不浪费其它性能稍差的链路,可以选择此种选路方式
根据链路优先级主备备份
- FW有3条出接口链路属于不同的ISP。其中,ISP1,ISP2和ISP3的链路优先级分别为8,6和2。ISP1的链路优先级最高,FW优先使用ISP1链路转发流量。当ISP1的链路使用率超过过载阈值时,将启用优先级次高的链路转发流量
- 当企业从不同ISP处获得多条链路时,如果各链路的带宽、转发时延、链路租借费用等因素存在较大差异,那么可以优先使用某些链路传输流量,并利用其他链路作为备份链路或负载分担链路,提高业务的可靠性,此时可以选择本选路方式
2.2 策略路由
- FW转发数据报文时,会查找路由表,并根据目的地址来进行报文的转发。在这种机制下,只能根据报文的目的地址为用户提供转发服务,无法提供有差别的服务
- 策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,而是根据用户制定的策略进行路由选择的机制,从更多的维度(入接口、源安全区域、源/目的IP地址、用户、服务、应用)来决定报文如何转发,增加了在报文转发控制上的灵活度。策略路由并没有替代路由表机制,而是优先于路由表生效,为某些特殊业务指定转发方向
策略路由的组成
2.3 ISP路由
多ISP选路存在的问题
- 当FW作为出口网关设备连接多个ISP网络时,通过ISP选路功能可以使访问特定ISP网络的流量从相应出接口转发出去,保证流量转发使用最短路径。配置ISP选路功能后,当内网用户访问Server1或Server2时,FW会根据目的地址所在ISP网络选择相应的出接口,从而使访问流量通过最短路径到达服务器,如图中的路径3和路径1
- 其实可以理解为就是配置一条静态路由到达ISP
2.4 健康检查
- 使用健康检查功能后,防火墙探测到ISP1链路故障,当流量触发智能选路时,ISP1链路不再参与智能选路,防火墙将从ISP2链路和ISP3链路中选择一条进行流量转发
- 防火墙拥有多个出接口时,通过智能选路功能可以使流量按照链路带宽、质量、权重或优先级动态地选择出接口,保证链路资源得到充分利用
- 为提高流量转发的可靠性,智能选路功能可以配合健康检查功能一起使用,保证流量不被转发到故障链路上。当健康检查的结果显示链路故障时,对应的接口链路将不再参与智能选路,流量也就避免被转发到故障链路上。当链路状态恢复正常时,对应的接口链路重新参与智能选路,并转发分配到的流量
健康检查实现的原理