目录

1. 防火墙的智能选路

2. 策略路由 -- PBR

3. 智能选路 --- 全局路由策略

3.1 基于链路带宽的负载分担:

3.2 基于链路质量进行负载分担

3.3 基于链路权重进行负载分担

3.4 基于链路优先级的主备备份

---

1. 防火墙的智能选路

        就近选路 --- 我们希望在访问不同运营商的服务器是，通过对应运营商的链路。这样可以提高 通信效率，避免绕路。

2. 策略路由 -- PBR

        传统的路由，仅基于数据包中的目标IP地址查找路由表。仅关心其目标，所以，在面对 一些特殊的需求时，传统路由存在短板，缺乏灵活性，适用场景比较单一。 策略路由本身也是一种策略，策略主要先匹配流量，再执行动作。策略路由可以从多维 度去匹配流量，之后，执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐 含一条不做策略的规则，即所有没有匹配上策略路由的流量，都将匹配传统路由表进行 转发。

        如果存在多条策略路由，则匹配规则也是自上而下，逐一匹配，如果匹配上了，则按照 对应动作执行，不再向下匹配；

        DSCP优先级 --- 相当于在数据包中设定其转发的优先级（利用的是IP头部中tos字段）， 之后下游设备会根据优先级来差异化保证流量的通过。

        动作：

                转发 --- 可以定义其转发的方式

                转发其他虚拟系统 --- VRF

                不做策略路由

        监控 --- 当策略是单出口时，如果这里写的下一跳和出接口不可达，报文将直接被FW丢 弃。为了提高可靠性，我们可以配置针对下一跳的监控，即使下一跳不可达，也可以继 续查找本地路由表，而不是直接丢弃。

3. 智能选路 --- 全局路由策略

3.1 基于链路带宽的负载分担:

        基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且，如果配置的过 载保护阈值，则一条链路达到过载保护阈值之后，除了已经创建会话表的流量依然可以 从该接口通过外，该接口将不再参与智能选路，需要新建会话表的流量将从其余链路中 按照比例转发。

        会话保持 --- 开启该功能后，流量首次通过智能选路的接口后，会创建会话表，后续命 中会话表的流量都将通过同一个接口来进行转发，选择源IP和目的IP的效果时，所有相 同源IP或者目标IP的流量将通过同一个接口转发。 --- 应对于不希望链路频繁切换的场 景。

在链路接口中可以配置就近选路

3.2 基于链路质量进行负载分担

        丢包率 --- FW会发送若干个探测报文（默认5个），将统计丢包的个数。丢包率等于回 应报文个数除以探测报文个数。丢包率是最重要的评判依据。

        时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文，取平均 时延作为结果进行评判

        延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文，取两两延时 抖动的平均值。

        首次探测后会将结果记录在链路质量探测表中，之后，将按照表中的接口来进行选路。 表中的老化时间结束后，将重新探测

3.3 基于链路权重进行负载分担

权重是由网络管理员针对每一条链路手工分配的，分配之后，将按照权重比例分配流 量。

3.4 基于链路优先级的主备备份

优先级也是由网络管理员针对每一条链路手工分配的。

执行逻辑：

        1，接口没有配置过载保护：

                优先使用优先级最高的链路转发流量，其他链路不工作。直到优先级最高的链路故 障，则优先级次高的链路开始转发流量。其余链路依旧不工作。

        2，接口配置了过载保护：

                优先使用优先级最高的链路转发流量，其他链路不工作；如果最高的链路达到或超 过保护阈值，则优先级次高的链路开始工作。

DNS透明代理