简介
当FW作为网络出口设备拥有多条出口链路时,智能选路功能可以根据管理员设置的带宽、权重和优先级自动探测链路质量并动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验。
• 全局选路策略
• 当FW上存在多条等价路由时,全局选路策略带宽、链路质量,权重和优先级动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验。
• 策略路由
• 策略路由能够依据用户制定的策略进行数据的转发。
• ISP选路(基于ISP路由的选路)
• 通过ISP选路功能可以实现流量按照运营商转发,使目的地址在不同运营商网络内的流量从对应出接口转发。
• 健康检查
• FW可以感知服务器或链路的状态变化,保证流量传输不受服务器或链路故障的影响。
• 智能选路的功能主要分为两部分,一部分是选路功能,另一部分是探测。
• 智能选路的选路功能根据不同的需求,可以实现基于全局选路策略的选路,基于策略路由的选路和基于ISP路由的选路。
• 智能选路的探测功能可以对服务可用性、链路可用性或链路时延进行探测,并根据探测结果调整业务流量的分配,为网络服务质量提供必要保障。
四种智能选路方式
链路带宽负载分担
• 链路带宽负载分担是默认的智能选路方式。当企业从不同ISP处获得多条带宽不等的链路时,为了充分利用各链路的带宽,提高链路的利用率,可以选择此种选路方式。这里所说的“带宽”是管理员在FW上为各个接口指定的带宽,一般来说,管理员需要根据实际链路带宽设置合理的带宽值。FW按照带宽比例将流量分配到各条链路上,所以带宽大的链路转发较多的流量,带宽小的链路转发较少的流量,所有链路都会被充分利用,不会有链路闲置的情况。
为了保证链路不会过载,管理员设置了过载保护阈值,各链路均为90%。当某条链路的带宽使用率达到90%时,已建立会话的流量仍从该链路转发,但是后续新建立会话的流量不再通过此链路转发,FW会在未过载的链路中智能选路,后续流量按照未过载链路之间的带宽比例进行负载分担。如果所有链路都已过载,那么FW将继续按照各链路的带宽比例分配流量。
链路质量负载分担
• 链路质量负载分担。在不同ISP处获得多条链路时,为了使用户获得最佳的访问体验,需要FW能够根据各链路的实时传输质量动态调整流量的分配,此时可以选择本选路方式。
• FW中有一张记录链路质量探测结果的链路质量探测表,当有流量到达FW时,FW首先检查是否可以根据探测表中的表项转发流量,如果不可以才会发起质量探测,并依据链路带宽转发流量。通过探测报文和回应报文来计算各个质量参数的值,由此评估出此ISP链路的质量,并将结果记录在链路质量探测表中。各个链路质量参数的计算方法如下:
• 丢包率:FW发送若干个探测报文后,将统计丢包的个数,并计算丢包率。丢包率等于回应报文个数除以探测报文个数。
• 时延:回应报文的接收时间减去探测报文的发送时间即为时延。FW发送N个探测报文后,将分别计算每次探测的时延,并取N次探测的平均值作为最终结果。
• 时延抖动:相邻两次探测的时延之差取绝对值即为时延抖动。FW发送N个探测报文后,将分别计算相邻两次探测的时延之差并取绝对值,然后取所有时延抖动的平均值作为最终结果。
• 管理员可以根据实际需要选择其中的一个或多个参数。三个质量参数中,丢包率是最重要的参数,如果两条链路的丢包率、时延、时延抖动各不相同,那么FW判定丢包率小的链路质量高。如果管理员为各链路设置了过载保护阈值,那么当ISP1链路的带宽利用率达到阈值时,ISP1链路将不再参与智能选路,FW会选择其他链路中质量最高的ISP2链路转发后续流量。
链路权重负载分担
• 链路权重负载分担。多条性能不等的链路时,为了优先使用转发性能最优的链路,保证大多数用户的访问体验,且不浪费其它性能稍差的链路,可以选择此种选路方式。管理员在FW上为各个接口指定权重时,一般来说,需要综合考虑各链路的带宽、转发时延、链路租借费用等因素,所以前面所说的“转发性能最优的链路”并不单指转发速度最快的链路,而是最符合企业利益的链路,所以管理员需要根据实际情况设置合理的权重。FW按照权重的比例将流量分配到各条链路上,所以权重大的链路转发较多的流量,权重小的链路转发较少的流量,所有链路都会被充分利用,不会有链路闲置的情况。
为了保证链路不会过载,管理员设置了过载保护阈值,各链路均为90%。当某条链路的带宽使用率达到90%时,此链路将不再被分配流量,FW会在未过载的链路中智能选路,后续流量按照未过载链路之间的权重比例进行负载分担。如果所有链路都已过载,那么FW将继续按照各链路的权重比例分配流量。
链路优先级负载分担
• 链路优先级主备备份。不同ISP处获得多条链路时,如果各链路的带宽、转发时延、链路租借费用等因素存在较大差异,那么可以优先使用某些链路传输流量,并利用其他链路作为备份链路或负载分担链路,提高业务的可靠性,此时可以选择本选路方式。
管理员为各接口指定合理的优先级后,优先级最高的接口称为主接口,其他优先级的接口统称为备份接口,FW优先使用主接口转发流量。如果没有为主接口链路指定过载保护阈值,那么即使链路过载,FW也不会使用其他链路传输流量。只有当主接口链路发生故障后,优先级次高的备份接口才被启用以替代主接口,而其他优先级更低的备份接口则仍未启用。这种情况可以称为主备备份场景。实际上,为了提高传输的可靠性和负载能力,可以为各接口链路设置过载保护阈值。当主接口链路过载时,FW会使用优先级次高的备份接口和主接口一起分担流量。当主接口和优先级次高的备份接口都过载后,余下的备份接口中优先级最高的接口才被启用进行流量分担,以此类推。这种情况可以称为负载分担场景。
管理员设置了过载保护阈值,各链路均为90%。FW优先使用ISP1链路转发流量,当ISP1链路的带宽利用率达到90%后,启用ISP2链路和ISP1链路一起分担流量。当ISP1链路和ISP2链路都过载时,启用ISP3链路和ISP1、ISP2链路一起分担流量。当3条链路都过载时,FW将按照各链路带宽的比例分配流量,不再根据链路优先级来分配。
• PS:链路优先级选路和链路质量选路的差别。链路优先级可以考虑额外的条件(租赁费,带宽等),但是链路质量可以动态调整。
链路保护阈值的问题及解决方法
• 智能选路接口可以配置过载保护阈值,这样可能会导致用户上网流量在接口链路过载前选择了该接口链路,而新建会话流量(如打开新网页)因为原接口链路过载而被FW从其他接口转发出去,从而出现已经登录的网站在刷新后需要重新登录,网络游戏在链路切换后掉线,甚至某些网上银行业务因检测到IP地址变化而拒绝用户访问等现象。
• FW支持在四种智能选路方式中配置会话保持功能。开启该功能后,流量进行首次智能选路选择某接口链路后,FW会生成相应的会话保持表项,新流量如果命中了该会话保持表项,FW按照会话保持表项中记录的出接口转发流量,这样能保证该用户的流量始终使用同一接口链路转发。
虚拟服务协议配置 --------------------------any http https ssl tcp udp esp
实服务器组会话保持方法配置 source-ip ----√----√ —√-----√ --√ —√ —√
---------------------------------session-id–×----×—×-----√-----× -× --×
---------------------------------cookie -----×----√—√-----×-----×—×---×
策略路由
• FW转发数据报文时,会查找路由表,并根据目的地址来进行报文的转发。在这种机制下,只能根据报文的目的地址为用户提供转发服务,无法提供有差别的服务。策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,而是根据用户制定的策略进行路由选择的机制,从更多的维度(入接口、源安全区域、源/目的IP地址、用户、服务、应用)来决定报文如何转发,增加了在报文转发控制上的灵活度。策略路由并没有替代路由表机制,而是优先于路由表生效,为某些特殊业务指定转发方向。
• 策略路由通常应用于多出口组网中,FW作为出口网关,存在两个网络出口:
• ISP1:上网速度快,但付费较高。
• ISP2:价格低廉,但网速比较慢。
• 通过策略路由,可以实现下述功能,用户可以根据需要进行选配。
• 基于用户的选路:指定用户/用户组只能通过指定的链路访问互联网。例如,用员工组A权限高,享受快速网络,可以通过链路ISP1访问互联网,员工组B权限低,通过链路ISP2访问互联网。
• 基于应用、协议类型的选路。例如,配置语音与视频等应用走带宽高线路,数据应用走带宽小的线路。
• 一条策略路由规则包括匹配条件和动作两部分内容。
• 匹配条件:匹配条件可以将要做策略路由的流量区分开来,FW支持下述几种类型的匹配条件:
o 源安全区域:基于报文的源安全区域进行流量识别。
o 入接口:基于报文的接收接口来进行流量识别。
o IP地址/MAC地址:基于报文的源IP/源MAC或目的IP/目的MAC进行流量识别。仅USG6000支持MAC地址。
o 用户:在对应的用户通过设备的身份认证后,基于报文所属的用户进行流量识别。
o 服务类型:基于报文所属的服务类型进行流量识别。
o 应用类型:基于报文所属的应用类型进行流量识别。
o DSCP优先级:基于报文的DSCP优先级进行流量识别。
o 在一个策略路由规则中,可以包含多个匹配条件,各匹配条件之间是“与”的关系,报文必须同时满足所有匹配条件,才可以执行后续定义的转发动作。服务类型、应用类型、用户作为匹配条件时,可以同时指定多个服务/服务组、应用/应用组、用户/用户组,只要与其中一个相同,就算满足该匹配条件。
• 动作:FW可以对符合匹配条件的流量采取下述动作:
o 把报文发送到指定的下一跳设备。
o 从指定出接口发送报文。
o 利用智能选路功能,从多个出接口中选择一个出接口发送报文。
o 把报文发送到指定的虚拟系统。
o 不做策略路由,按照现有的路由表进行转发。
• 当FW配置了多条策略路由规则时,按照规则的配置顺序对流量进行依次匹配。只要匹配一条规则的所有条件,即按此规则的动作进行处理,不再继续匹配剩下的规则。所以,建议先配置条件精确的规则,后配置条件宽泛的规则,提高匹配的精确度。如果所有的策略路由规则的匹配条件都无法满足,报文按照路由表进行转发。当策略路由为单出口时,如果动作里指定的下一跳或出接口不可达,报文会被FW直接丢弃。为了提高可靠性,可以配置FW监测下一跳或者目的IP的可达性,即使下一跳或目的IP不可达,也可以继续查找路由表,避免报文被直接丢弃。
• 策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照先行路由表进行转发,而是根据需要,依照某种策略改变其转发路径的方法。
• 路由策略的操作对象是路由信息,在正常的路由协议之上,根据某种规则,通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,也就是改变路由表的内容。
ISP选路
• 当FW作为出口网关设备连接多个ISP网络时,通过ISP选路功能可以使访问特定ISP网络的流量从相应出接口转发出去,保证流量转发使用最短路径。配置ISP选路功能后,当内网用户访问Server1或Server2时,FW会根据目的地址所在ISP网络选择相应的出接口,从而使访问流量通过最短路径到达服务器,如图中的路径3和路径1。
• 配置ISP选路功能前,管理员需要把每个ISP网络内的IP地址分别写入不同的csv文件(该文件称为ISP地址文件),然后将文件导入FW。指定出接口与某个运营商名称关联后,FW会批量生成到此运营商网络的ISP路由:目的地址是ISP地址文件中的IP地址,下一跳是出接口上配置的网关地址。ISP路由也称为运营商路由,在路由表中显示的协议类型为UNR(user network route),路由优先级为70。
• FW出厂时已经预置下列运营商的ISP地址文件:china-mobile.csv:中国移动、china-unicom.csv:中国联通、china-telecom.csv:中国电信、china-educationnet.csv:中国教育网,注意事项:
• ISP地址文件必须为csv格式。
• FW预置的ISP地址文件可以直接使用,但不能确保该ISP地址文件中的IP地址信息完全准确,应用时请根据现网实际情况进行相应调整。
• 预置和导入的ISP地址文件固定存放在根目录下名称为isp的文件夹内。导入ISP地址文件后,管理员需要为每个文件创建一个名称,一般是以该ISP代表的运营商名称命名。成功导入文件后,每个ISP地址文件会自动生成一个ISP地址集(也称为运营商地址集),其中包含了ISP地址文件中的所有IP地址,该地址集可以被策略路由引用作为源地址或目的地址。
• 为了提高流量转发的可靠性,ISP选路功能可以配合健康检查功能一起使用,保证流量不被转发到故障链路上。当健康检查的结果显示链路故障时,对应的ISP路由表项将被删除,所以流量不会命中该条路由,也就避免被转发到故障链路上。当链路状态恢复正常时,对应的ISP路由表项将重新生成,流量即可按此路由进行转发。
健康检查
• 当防火墙拥有多个出接口时,通过智能选路功能可以使流量按照链路带宽、质量、权重或优先级动态地选择出接口,保证链路资源得到充分利用。为提高流量转发的可靠性,智能选路功能可以配合健康检查功能一起使用,保证流量不被转发到故障链路上。当健康检查的结果显示链路故障时,对应的接口链路将不再参与智能选路,流量也就避免被转发到故障链路上。当链路状态恢复正常时,对应的接口链路重新参与智能选路,并转发分配到的流量。
• 应用当FW作为出口网关设备连接多个ISP网络时,通过ISP选路功能可以批量生成ISP路由,使访问特定ISP网络的流量按照ISP路由从相应出接口转发出去。为提高流量转发的可靠性,ISP选路功能可以配合健康检查功能一起使用,保证流量不被转发到故障链路上。当健康检查的结果显示链路故障时,对应的ISP路由表项将被删除,所以流量不会命中该条路由,也就避免被转发到故障链路上。当链路状态恢复正常时,对应的ISP路由表项将重新生成,流量即可按此路由进行转发。
• 防火墙提供了丰富的健康检查机制,可以提高链路和服务的质量,提升用户的使用体验。健康检查可以对服务可用性、链路可用性或链路时延进行探测,并根据探测结果调整业务流量的分配,为网络服务质量提供必要保障。
• 防火墙通过健康检查结果实时感知到网络中发生的变化,并立即作出相应地调整,保证所使用的服务器或链路是可用的,提高服务的稳定性和可靠性。
•
探测协议 探测原理
DNS 使用DNS协议向指定设备发起请求,如果应答报文中的标识字段与请求报文一致,即认为该链路可用。
HTTP 完成TCP三次握手后,使用HTTP协议向指定设备发送获取指定目的根目录的请求,收到HTTP应答报文即认为该链路可用,随后防火墙会发送RST报文中止此TCP连接。
ICMP 向指定设备发送ICMP请求报文,如果ICMP应答报文中的标识符和序列号字段与请求报文的一致,即认为该段链路可用。
RADIUS 使用RADIUS协议向指定服务器发起认证请求,用户名为“guestguest”,密码为空,如果应答报文中的标识符与发送报文一致,即认为该服务可用。
TCP 使用TCP协议向指定设备发送TCP连接请求,如果连接建立成功,即认为该链路可用,随后防火墙会发送RST报文中止此TCP连接。
TCP(简单探测) 使用TCP报文检查网络的连通性。只要目的设备回应第一个探测报文,即认为链路是可用的,无需完成三次握手。
