防火墙的智能选路
-
就近选路
--- 我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以高
通信效率,避免绕路。
策略路由 -- PBR
传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一。
策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐含一条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行转发。
如果存在多条策略路由,则匹配规则也是自上而下,逐一匹配,如果匹配上了,则按照对应动作执行,不再向下匹配;
DSCP优先级
--- 相当于在数据包中设定其转发的优先级(利用的是IP头部中tos字段),
之后下游设备会根据优先级来差异化保证流量的通过。
动作:
转发 --- 可以定义其转发的方式
转发其他虚拟系统 --- VRF
不做策略路由
监控 --- 当策略是单出口时,如果这里写的下一跳和出接口不可达,报文将直接被FW丢弃。为了提高可靠性,我们可以配置针对下一跳的监控,即使下一跳不可达,也可以继
续查找本地路由表,而不是直接丢弃
智能选路 --- 全局路由策略
基于链路带宽的负载分担
基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且,如果配置的过
载保护阈值,则一条链路达到过载保护阈值之后,除了已经创建会话表的流量依然可以
从该接口通过外,该接口将不再参与智能选路,需要新建会话表的流量将从其余链路中
按照比例转发。
基于链路质量进行负载分担
丢包率 --- FW会发送若干个探测报文(默认5个),将统计丢包的个数。丢包率等于回
应报文个数除以探测报文个数。丢包率是最重要的评判依据。
时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文,取平均
时延作为结果进行评判
延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文,取两两延时
抖动的平均值。
基于链路权重进行负载分担
权重是由网络管理员针对每一条链路手工分配的,分配之后,将按照权重比例分配流
量。
基于链路优先级的主备备份
优先级也是由网络管理员针对每一条链路手工分配的。
执行逻辑:
1,接口没有配置过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作。直到优先级最高的链路故
障,则优先级次高的链路开始转发流量。其余链路依旧不工作。
2,接口配置了过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作;如果最高的链路达到或超
过保护阈值,则优先级次高的链路开始工作。
DNS透明代理
DNS透明代理的前提是开启就近选路
