華為防火牆的四種智慧選路方式

FW支援四種智慧選路方式，不同的智慧選路方式可以滿足不同的需求，管理員可以根據裝置和網路的實際情況進行選擇。

表1 智慧選路方式

智慧選路方式

定義

根據鏈路頻寬負載分擔

FW按照頻寬比例將流量分配到各條鏈路上。頻寬大的鏈路轉發較多的流量，頻寬小的鏈路轉發較少的流量。

根據鏈路質量負載分擔

FW優先使用鏈路質量高的鏈路轉發流量。

根據鏈路權重負載分擔

FW按照權重的比例將流量分配到各條鏈路上，權重大的鏈路轉發較多的流量，權重小的鏈路轉發較少的流量。

根據鏈路優先順序主備備份

優先順序最高的介面稱為主介面，其他優先順序的介面統稱為備份介面，FW優先使用主介面轉發流量。

根據鏈路頻寬負載分擔

如下圖所示，FW擁有3條出介面鏈路，分別屬於不同的ISP。其中，ISP1的鏈路頻寬為200M，ISP2和ISP3的鏈路頻寬均為100M，所以頻寬比例為2：1：1。當FW轉發一段時間流量後，各鏈路上累計傳輸的流量將分別佔到總流量的50%、25%、25%，即各鏈路傳輸流量的比例和頻寬的比例成正比。為了保證鏈路不會過載，管理員可以設定過載保護閾值，例如各鏈路均為90%。

所有鏈路均未過載時，按照鏈路之間的頻寬比例進行負載分擔

當某條鏈路的頻寬使用率達到90%時，已建立會話的流量仍從該鏈路轉發，但是後續新建立會話的流量不再透過此鏈路轉發，FW會在未過載的鏈路中智慧選路，後續流量按照未過載鏈路之間的頻寬比例進行負載分擔。

如果所有鏈路都已過載，那麼FW將繼續按照各鏈路的頻寬比例分配流量。

說明：

FW是根據各介面指定頻寬的比例來分流的，而不是根據流量的實時流速。所以實際上各介面鏈路上分配的流量比例很難和設定的頻寬比例一致，總是會有波動。

比如有3條介面鏈路，頻寬比例設定為2：1：1，此時有4條流量，FW分別將這4條流量按照2：1：1分配到這3條介面鏈路上，即介面1分了2條流，介面2和3各分了1條流。但每條流的流速不一樣，所以此時介面上轉發的流量大小比例並不是2：1：1。

根據鏈路質量負載分擔

丟包率、時延和時延抖動是FW衡量鏈路質量的3個引數。表2列出了3個鏈路質量引數的計算方法。

表2鏈路質量引數的計算方法

鏈路質量引數

計算方法

丟包率

FW傳送若干個探測報文後，將統計丟包的個數，並計算丟包率。丟包率等於丟包個數除以探測報文個數。

時延

迴應報文的接收時間減去探測報文的傳送時間即為時延。FW傳送N個探測報文後，將分別計算每次探測的時延，並取N次探測的平均值作為最終結果。

時延抖動

相鄰兩次探測的時延之差取絕對值即為時延抖動。FW傳送N個探測報文後，將分別計算相鄰兩次探測的時延之差並取絕對值，然後取所有時延抖動的平均值作為最終結果。

FW自動向目的IP傳送鏈路質量探測報文，獲取各鏈路的傳輸質量資訊，並將鏈路質量探測結果儲存在鏈路質量探測表中。當有流量到達FW時，FW首先根據報文的目的IP去匹配探測表：

如果匹配，則根據探測表中記錄的出介面轉發流量；

如果未匹配，則自動向目的IP發起質量探測選擇最優的鏈路轉發流量，並將探測結果記錄在鏈路質量探測表中。

當質量探測表項老化後，新的流量觸發智慧選路時需要重新進行鏈路質量探測。

預設情況下，鏈路質量探測報文的協議型別為tcp-simple（FW使用TCP報文檢查網路的連通性，只要目的裝置迴應第一個探測報文，即認為鏈路是可用的，無需完成三次握手）。此時，FW針對TCP業務流量使用tcp-simple協議進行質量探測，針對非TCP業務流量使用ICMP協議進行質量探測。探測報文的協議型別還可以修改為ICMP，此時FW針對所有業務流量都使用ICMP協議探測進行質量探測。

如下圖所示，FW擁有3條出介面鏈路，分別屬於不同的ISP。FW向各個ISP內的指定裝置傳送5個探測報文，其中ISP1鏈路沒有丟包，ISP2鏈路丟了2個包，ISP3鏈路沒有收到迴應報文。所以FW判定ISP1的質量最高，將優先使用ISP1鏈路轉發流量，只要探測表項沒有老化，FW就一直使用ISP1轉發流量，不會使用ISP2鏈路和ISP3鏈路。如果管理員為各鏈路設定了過載保護閾值，那麼當ISP1鏈路的頻寬利用率達到閾值時，ISP1鏈路將不再參與智慧選路，FW會選擇其他鏈路中質量最高的ISP2鏈路轉發後續流量。

根據鏈路權重負載分擔

如下圖所示，FW擁有3條出介面鏈路，分別屬於不同的ISP。其中，ISP1的鏈路權重為5，ISP2的鏈路權重為3，ISP3的鏈路權重為2，所以權重比例為5：3：2。當FW轉發一段時間流量後，各鏈路上累計傳輸的流量將分別佔到總流量的50%、30%、20%，即各鏈路傳輸流量的比例和權重的比例成正比。為了保證鏈路不會過載，管理員可以設定過載保護閾值，例如各鏈路均為90%。

當所有鏈路均未過載時，鏈路之間的按權重比例進行負載分擔。

當某條鏈路的頻寬使用率達到90%時，此鏈路將不再被分配流量，FW會在未過載的鏈路中智慧選路，後續流量按照未過載鏈路之間的權重比例進行負載分擔。

如果所有鏈路都已過載，那麼FW將繼續按照各鏈路的權重比例分配流量。

根據鏈路優先順序主備備份

該智慧選路方式分為兩種場景：

主備備份場景：主介面鏈路沒有指定過載保護閾值，那麼即使鏈路過載，FW也不會使用其他鏈路傳輸流量。只有當主介面鏈路發生故障後，優先順序次高的備份接口才被啟用以替代主介面，而其他優先順序更低的備份介面則仍未啟用。

負載分擔場景：各介面鏈路設定過載保護閾值，當主介面鏈路過載時，FW會使用優先順序次高的備份介面和主介面一起分擔流量。當主介面和優先順序次高的備份介面都過載後，餘下的備份介面中優先順序最高的接口才被啟用進行流量分擔。

如下圖所示，FW擁有3條出介面鏈路，分別屬於不同的ISP。其中，ISP1的鏈路優先順序為8，ISP2的鏈路優先順序為3，ISP3的鏈路優先順序為1，ISP1的鏈路優先順序最高。管理員設定了過載保護閾值，各鏈路均為90%。FW優先使用ISP1鏈路轉發流量，當ISP1鏈路的頻寬利用率達到90%後，啟用ISP2鏈路和ISP1鏈路一起分擔流量。當ISP1鏈路和ISP2鏈路都過載時，啟用ISP3鏈路和ISP1、ISP2鏈路一起分擔流量。當3條鏈路都過載時，FW將按照各鏈路頻寬的比例分配流量，不再根據鏈路優先順序來分配。

會話保持

智慧選路介面可以配置過載保護閾值，當鏈路的頻寬利用率達到過載保護閾值時，FW對新流量進行智慧選路時將排除該過載鏈路，在其他未過載的鏈路中進行選路。這樣可能會導致使用者上網流量在鏈路過載前選擇了該鏈路，而新建會話流量（如開啟新網頁）因為原鏈路過載而被FW從其他鏈路轉發出去。

這種情況會出現已經登入的網站在重新整理後需要重新登入，網路遊戲在鏈路切換後掉線，甚至某些網上銀行業務因檢測到IP地址變化而拒絕使用者訪問等現象。為了解決上述問題，可以開啟智慧選路會話保持功能。

開啟該功能後，上網使用者流量進行首次智慧選路選擇某鏈路後，FW會生成相應的會話保持表項，新流量如果命中了該會話保持表項，FW按照會話保持表項中記錄的鏈路轉發流量，這樣能保證該使用者的流量始終使用同一鏈路轉發。

以基於源IP的會話保持模式為例介紹會話保持的原理，如下圖所示，使用者A的上網流量進行首次智慧選路後，會生成一個會話保持表項，其中包含了源IP地址、匹配的智慧選路策略ID和首次選路的出介面。當該使用者再次發起連線時，FW會根據新流量中的源IP和匹配的智慧選路策略ID查詢相應的會話保持表項，並直接使用會話保持表項中記錄的出介面轉發該流量，這樣就保證了此使用者的流量始終使用同一出介面轉發。

配置舉例

如下圖所示，企業原有一條從ISP1租用的鏈路，頻寬為50M，又從ISP2租用一條效能優良的鏈路，頻寬為150M。

企業希望ISP2鏈路轉發80%的流量，ISP1鏈路轉發20%的流量，提高大多數使用者的體驗。

當其中一條鏈路過載（閾值為90%）時，後續流量可以透過另一條鏈路轉發，保證傳輸的可靠性。

配置思路

由於企業希望ISP2鏈路和ISP1鏈路轉發流量的比例為4：1，所以智慧選路的方式可以設定為根據鏈路權重負載分擔，並指定ISP2鏈路的權重為4，ISP1鏈路的權重為1。為了保證鏈路故障或過載時，FW可以使用其他鏈路轉發流量，還需要配置健康檢查功能和鏈路過載保護功能。

可選：配置健康檢查功能，分別為ISP1和ISP2鏈路配置健康檢查。

配置介面的IP地址、安全區域、閘道器地址、頻寬和過載保護閾值，並在介面上應用健康檢查。

配置全域性選路策略。配置智慧選路方式為根據鏈路權重負載分擔，指定FW和ISP1、ISP2網路直連的出介面作為智慧選路成員介面，併為介面設定權重值。

配置基本的安全策略，允許企業內網使用者訪問外網資源。

操作步驟

1、可選：開啟健康檢查功能，併為ISP1和ISP2鏈路分別新建一個健康檢查。假設ISP1網路的目的地址網段為3。3。10。0/24，ISP2網路的目的地址網段為9。9。20。0/24；3。3。10。10、3。3。10。11和9。9。20。20、9。9。20。21分別為ISP1和ISP2網路中已知的裝置地址。

選擇“物件 > 健康檢查”，在“健康檢查列表”區域單擊“新建”，為ISP1鏈路新建一個健康檢查。