防火墙的智能选路

1. 就近选路

--- 我们希望在访问不同运营商的服务器是，通过对应运营商的链路。这样可以高

通信效率，避免绕路。

策略路由 -- PBR

传统的路由，仅基于数据包中的目标IP地址查找路由表。仅关心其目标，所以，在面对一些特殊的需求时，传统路由存在短板，缺乏灵活性，适用场景比较单一。

策略路由本身也是一种策略，策略主要先匹配流量，再执行动作。策略路由可以从多维度去匹配流量，之后，执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐含一条不做策略的规则，即所有没有匹配上策略路由的流量，都将匹配传统路由表进行转发。

如果存在多条策略路由，则匹配规则也是自上而下，逐一匹配，如果匹配上了，则按照对应动作执行，不再向下匹配；

DSCP优先级

--- 相当于在数据包中设定其转发的优先级（利用的是IP头部中tos字段），

之后下游设备会根据优先级来差异化保证流量的通过。

动作：

转发 --- 可以定义其转发的方式

转发其他虚拟系统 --- VRF

不做策略路由

监控 --- 当策略是单出口时，如果这里写的下一跳和出接口不可达，报文将直接被FW丢弃。为了提高可靠性，我们可以配置针对下一跳的监控，即使下一跳不可达，也可以继

续查找本地路由表，而不是直接丢弃

智能选路 --- 全局路由策略

基于链路带宽的负载分担

基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且，如果配置的过

载保护阈值，则一条链路达到过载保护阈值之后，除了已经创建会话表的流量依然可以

从该接口通过外，该接口将不再参与智能选路，需要新建会话表的流量将从其余链路中

按照比例转发。

基于链路质量进行负载分担

丢包率 --- FW会发送若干个探测报文（默认5个），将统计丢包的个数。丢包率等于回

应报文个数除以探测报文个数。丢包率是最重要的评判依据。

时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文，取平均

时延作为结果进行评判

延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文，取两两延时

抖动的平均值。

基于链路权重进行负载分担

权重是由网络管理员针对每一条链路手工分配的，分配之后，将按照权重比例分配流

量。

基于链路优先级的主备备份

优先级也是由网络管理员针对每一条链路手工分配的。

执行逻辑：

1，接口没有配置过载保护：

优先使用优先级最高的链路转发流量，其他链路不工作。直到优先级最高的链路故

障，则优先级次高的链路开始转发流量。其余链路依旧不工作。

2，接口配置了过载保护：

优先使用优先级最高的链路转发流量，其他链路不工作；如果最高的链路达到或超

过保护阈值，则优先级次高的链路开始工作。

DNS透明代理

DNS透明代理的前提是开启就近选路