华为防火墙的四种智能选路方式

FW支持四种智能选路方式，不同的智能选路方式可以满足不同的需求，管理员可以根据设备和网络的实际情况进行选择。

表1 智能选路方式

根据链路带宽负载分担

如下图所示，FW拥有3条出接口链路，分别属于不同的ISP。其中，ISP1的链路带宽为200M，ISP2和ISP3的链路带宽均为100M，所以带宽比例为2:1:1。当FW转发一段时间流量后，各链路上累计传输的流量将分别占到总流量的50%、25%、25%，即各链路传输流量的比例和带宽的比例成正比。为了保证链路不会过载，管理员可以设置过载保护阈值，例如各链路均为90%。

• 所有链路均未过载时，按照链路之间的带宽比例进行负载分担
• 当某条链路的带宽使用率达到90%时，已建立会话的流量仍从该链路转发，但是后续新建立会话的流量不再通过此链路转发，FW会在未过载的链路中智能选路，后续流量按照未过载链路之间的带宽比例进行负载分担。
• 如果所有链路都已过载，那么FW将继续按照各链路的带宽比例分配流量。

说明：

FW是根据各接口指定带宽的比例来分流的，而不是根据流量的实时流速。所以实际上各接口链路上分配的流量比例很难和设置的带宽比例一致，总是会有波动。

比如有3条接口链路，带宽比例设置为2:1:1，此时有4条流量，FW分别将这4条流量按照2:1:1分配到这3条接口链路上，即接口1分了2条流，接口2和3各分了1条流。但每条流的流速不一样，所以此时接口上转发的流量大小比例并不是2:1:1。

根据链路质量负载分担

丢包率、时延和时延抖动是FW衡量链路质量的3个参数。表2列出了3个链路质量参数的计算方法。

表2链路质量参数的计算方法

FW自动向目的IP发送链路质量探测报文，获取各链路的传输质量信息，并将链路质量探测结果保存在链路质量探测表中。当有流量到达FW时，FW首先根据报文的目的IP去匹配探测表：

• 如果匹配，则根据探测表中记录的出接口转发流量；
• 如果未匹配，则自动向目的IP发起质量探测选择最优的链路转发流量，并将探测结果记录在链路质量探测表中。
• 当质量探测表项老化后，新的流量触发智能选路时需要重新进行链路质量探测。

缺省情况下，链路质量探测报文的协议类型为tcp-simple（FW使用TCP报文检查网络的连通性，只要目的设备回应第一个探测报文，即认为链路是可用的，无需完成三次握手）。此时，FW针对TCP业务流量使用tcp-simple协议进行质量探测，针对非TCP业务流量使用ICMP协议进行质量探测。探测报文的协议类型还可以修改为ICMP，此时FW针对所有业务流量都使用ICMP协议探测进行质量探测。

如下图所示，FW拥有3条出接口链路，分别属于不同的ISP。FW向各个ISP内的指定设备发送5个探测报文，其中ISP1链路没有丢包，ISP2链路丢了2个包，ISP3链路没有收到回应报文。所以FW判定ISP1的质量最高，将优先使用ISP1链路转发流量，只要探测表项没有老化，FW就一直使用ISP1转发流量，不会使用ISP2链路和ISP3链路。如果管理员为各链路设置了过载保护阈值，那么当ISP1链路的带宽利用率达到阈值时，ISP1链路将不再参与智能选路，FW会选择其他链路中质量最高的ISP2链路转发后续流量。

根据链路权重负载分担

如下图所示，FW拥有3条出接口链路，分别属于不同的ISP。其中，ISP1的链路权重为5，ISP2的链路权重为3，ISP3的链路权重为2，所以权重比例为5:3:2。当FW转发一段时间流量后，各链路上累计传输的流量将分别占到总流量的50%、30%、20%，即各链路传输流量的比例和权重的比例成正比。为了保证链路不会过载，管理员可以设置过载保护阈值，例如各链路均为90%。

• 当所有链路均未过载时，链路之间的按权重比例进行负载分担。
• 当某条链路的带宽使用率达到90%时，此链路将不再被分配流量，FW会在未过载的链路中智能选路，后续流量按照未过载链路之间的权重比例进行负载分担。
• 如果所有链路都已过载，那么FW将继续按照各链路的权重比例分配流量。

根据链路优先级主备备份

该智能选路方式分为两种场景：

• 主备备份场景：主接口链路没有指定过载保护阈值，那么即使链路过载，FW也不会使用其他链路传输流量。只有当主接口链路发生故障后，优先级次高的备份接口才被启用以替代主接口，而其他优先级更低的备份接口则仍未启用。
• 负载分担场景：各接口链路设置过载保护阈值，当主接口链路过载时，FW会使用优先级次高的备份接口和主接口一起分担流量。当主接口和优先级次高的备份接口都过载后，余下的备份接口中优先级最高的接口才被启用进行流量分担。

如下图所示，FW拥有3条出接口链路，分别属于不同的ISP。其中，ISP1的链路优先级为8，ISP2的链路优先级为3，ISP3的链路优先级为1，ISP1的链路优先级最高。管理员设置了过载保护阈值，各链路均为90%。FW优先使用ISP1链路转发流量，当ISP1链路的带宽利用率达到90%后，启用ISP2链路和ISP1链路一起分担流量。当ISP1链路和ISP2链路都过载时，启用ISP3链路和ISP1、ISP2链路一起分担流量。当3条链路都过载时，FW将按照各链路带宽的比例分配流量，不再根据链路优先级来分配。

会话保持

智能选路接口可以配置过载保护阈值，当链路的带宽利用率达到过载保护阈值时，FW对新流量进行智能选路时将排除该过载链路，在其他未过载的链路中进行选路。这样可能会导致用户上网流量在链路过载前选择了该链路，而新建会话流量（如打开新网页）因为原链路过载而被FW从其他链路转发出去。

这种情况会出现已经登录的网站在刷新后需要重新登录，网络游戏在链路切换后掉线，甚至某些网上银行业务因检测到IP地址变化而拒绝用户访问等现象。为了解决上述问题，可以开启智能选路会话保持功能。

开启该功能后，上网用户流量进行首次智能选路选择某链路后，FW会生成相应的会话保持表项，新流量如果命中了该会话保持表项，FW按照会话保持表项中记录的链路转发流量，这样能保证该用户的流量始终使用同一链路转发。

以基于源IP的会话保持模式为例介绍会话保持的原理，如下图所示，用户A的上网流量进行首次智能选路后，会生成一个会话保持表项，其中包含了源IP地址、匹配的智能选路策略ID和首次选路的出接口。当该用户再次发起连接时，FW会根据新流量中的源IP和匹配的智能选路策略ID查找相应的会话保持表项，并直接使用会话保持表项中记录的出接口转发该流量，这样就保证了此用户的流量始终使用同一出接口转发。

配置举例

如下图所示，企业原有一条从ISP1租用的链路，带宽为50M，又从ISP2租用一条性能优良的链路，带宽为150M。

• 企业希望ISP2链路转发80%的流量，ISP1链路转发20%的流量，提高大多数用户的体验。
• 当其中一条链路过载（阈值为90%）时，后续流量可以通过另一条链路转发，保证传输的可靠性。

配置思路

由于企业希望ISP2链路和ISP1链路转发流量的比例为4:1，所以智能选路的方式可以设置为根据链路权重负载分担，并指定ISP2链路的权重为4，ISP1链路的权重为1。为了保证链路故障或过载时，FW可以使用其他链路转发流量，还需要配置健康检查功能和链路过载保护功能。

操作步骤

1、可选：开启健康检查功能，并为ISP1和ISP2链路分别新建一个健康检查。假设ISP1网络的目的地址网段为3.3.10.0/24，ISP2网络的目的地址网段为9.9.20.0/24；3.3.10.10、3.3.10.11和9.9.20.20、9.9.20.21分别为ISP1和ISP2网络中已知的设备地址。

选择“对象 > 健康检查”，在“健康检查列表”区域单击“新建”，为ISP1链路新建一个健康检查。

单击“新建”，为ISP2链路新建一个健康检查。

2、配置GigabitEthernet 0/0/1和GigabitEthernet 0/0/7的IP地址和网关地址，加入Untrust安全区域，配置接口所在链路的带宽和过载保护阈值，并应用对应的健康检查。

选择“网络 > 接口”，单击待配置的接口所在行的。

3、配置接口GigabitEthernet 0/0/3的IP地址，并加入Trust安全区域。

选择“网络 > 接口”，单击待配置的接口所在行的。

4、配置全局选路策略，流量根据链路权重负载分担。并将GigabitEthernet 0/0/1和GigabitEthernet 0/0/7加入出接口列表。

选择“网络 > 路由 > 智能选路”，在“全局选路策略列表”区域，单击“配置”。

5、配置Trust到Untrust区域的安全策略，允许企业内网用户访问外网资源。假设内部用户网段为10.3.0.0/24。

选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”。