目录
1. 防火墙的智能选路
2. 策略路由 -- PBR
3. 智能选路 --- 全局路由策略
3.1 基于链路带宽的负载分担:
3.2 基于链路质量进行负载分担
3.3 基于链路权重进行负载分担
3.4 基于链路优先级的主备备份
1. 防火墙的智能选路
就近选路 --- 我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高 通信效率,避免绕路。
2. 策略路由 -- PBR
传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对 一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一。 策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维 度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐 含一条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行 转发。
如果存在多条策略路由,则匹配规则也是自上而下,逐一匹配,如果匹配上了,则按照 对应动作执行,不再向下匹配;
DSCP优先级 --- 相当于在数据包中设定其转发的优先级(利用的是IP头部中tos字段), 之后下游设备会根据优先级来差异化保证流量的通过。
动作:
转发 --- 可以定义其转发的方式
转发其他虚拟系统 --- VRF
不做策略路由
监控 --- 当策略是单出口时,如果这里写的下一跳和出接口不可达,报文将直接被FW丢 弃。为了提高可靠性,我们可以配置针对下一跳的监控,即使下一跳不可达,也可以继 续查找本地路由表,而不是直接丢弃。
3. 智能选路 --- 全局路由策略
3.1 基于链路带宽的负载分担:
基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且,如果配置的过 载保护阈值,则一条链路达到过载保护阈值之后,除了已经创建会话表的流量依然可以 从该接口通过外,该接口将不再参与智能选路,需要新建会话表的流量将从其余链路中 按照比例转发。
会话保持 --- 开启该功能后,流量首次通过智能选路的接口后,会创建会话表,后续命 中会话表的流量都将通过同一个接口来进行转发,选择源IP和目的IP的效果时,所有相 同源IP或者目标IP的流量将通过同一个接口转发。 --- 应对于不希望链路频繁切换的场 景。
在链路接口中可以配置就近选路
3.2 基于链路质量进行负载分担
丢包率 --- FW会发送若干个探测报文(默认5个),将统计丢包的个数。丢包率等于回 应报文个数除以探测报文个数。丢包率是最重要的评判依据。
时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文,取平均 时延作为结果进行评判
延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文,取两两延时 抖动的平均值。
首次探测后会将结果记录在链路质量探测表中,之后,将按照表中的接口来进行选路。 表中的老化时间结束后,将重新探测
3.3 基于链路权重进行负载分担
权重是由网络管理员针对每一条链路手工分配的,分配之后,将按照权重比例分配流 量。
3.4 基于链路优先级的主备备份
优先级也是由网络管理员针对每一条链路手工分配的。
执行逻辑:
1,接口没有配置过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作。直到优先级最高的链路故 障,则优先级次高的链路开始转发流量。其余链路依旧不工作。
2,接口配置了过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作;如果最高的链路达到或超 过保护阈值,则优先级次高的链路开始工作。
DNS透明代理