华为防火墙:了解全局选路策略(智能选路、全局选路策略)(根据链路带宽负载分担、根据链路质量负载分担、根据链路权重负载分担、根据链路优先级主备备份)

华为防火墙:了解全局选路策略(智能选路、全局选路策略)(根据链路带宽负载分担、根据链路质量负载分担、根据链路权重负载分担、根据链路优先级主备备份)

image.png

图片.png

配置全局先路策略:

multi-linkif   //进入到全局智能选路视图中

  mode priority-of-userdefine   //全局选路方式为“根据链路优先级主备备份”

  

multi-linkif   //进入到全局智能选路视图中

  mode mode proportion-of-bandwidth   //全局选路方式为“根据链路带宽负载分担”

  

multi-linkif   //进入到全局智能选路视图中

 mode priority-of-link-quality //全局选路方式为“根据链路质量负载分担”

  

multi-linkif   //进入到全局智能选路视图中

  mode proportion-of-weight   //全局选路方式为“根据链路权重负载分担”


概述
在多出口场景下,当到达目的网络有多条等价路由或者缺省路由时,FW默认按照逐流负载分担模式进行转发,使用源IP地址和目的IP地址进行HASH计算选择出接口,即由报文的源IP和目的IP决定选择哪条路,不会考虑各条链路的实际带宽或链路的实时状态。当转发流量较大时,很可能出现一部分链路拥塞、另一部分链路闲置的情况,造成链路资源的浪费。当某些链路的传输质量比较差时,可能造成访问失败,影响用户的体验。用户也无法选择优先使用某些链路转发流量,可能产生额外的费用。
全局选路策略可以解决上述问题。当到达目的网络有多条等价路由或者缺省路由时,全局选路策略可以根据不同的智能选路方式,即链路带宽、权重、优先级或者自动探测到的链路质量选择出接口,并根据各条链路的实时状态动态调整分配结果,以此实现链路资源的合理利用,提升用户体验。
智能选路方式
FW支持四种智能选路方式,不同的智能选路方式可以满足不同的需求,管理员可以根据设备和网络的实际情况进行选择。
设置智能选路的方式时,如无特别说明,“接口”和“接口链路”为等同的概念。FW通过对相关接口进行设置,体现对接口链路带宽、权重、优先级等方面的设置。

智能选路方式

智能选路方式

定义

部署

使用场景

根据链路带宽负载分担

FW按照带宽比例将流量分配到各条链路上。带宽大的链路转发较多的流量,带宽小的链路转发较少的流量,所有链路都会被充分利用,不会有链路闲置的情况

在各条链路的出接口上配置入方向和出方向的带宽。管理员需要根据实际链路带宽设置合理的带宽值。

当企业从不同ISP处获得多条带宽不等的链路时,为了充分利用各链路的带宽,提高链路的利用率,可以选择该选路方式。具体示例请参见根据链路带宽负载分担。

根据链路质量负载分担

FW优先使用链路质量高的链路转发流量。

配置衡量链路质量的参数:丢包率、时延和时延抖动,管理员可以根据实际需要选择其中的一个或多个参数。3个链路质量参数的计算方法请参见根据链路质量负载分担。

三个质量参数中,丢包率是最重要的参数,如果两条链路的丢包率、时延、时延抖动各不相同,那么FW判定丢包率小的链路质量高。

当企业从不同ISP处获得多条链路时,为了使用户获得最佳的访问体验,需要FW能够根据各链路的实时传输质量动态调整流量的分配,此时可以选择该选路方式。具体示例请参见根据链路质量负载分担。

根据链路权重负载分担

FW按照权重的比例将流量分配到各条链路上,权重大的链路转发较多的流量,权重小的链路转发较少的流量,所有链路都会被充分利用,不会有链路闲置的情况

在各条链路的出接口上配置权重。一般来说,需要综合考虑各链路的带宽、转发时延、链路租借费用等因素,“转发性能最优的链路”并不单指转发速度最快的链路,而是最符合企业利益的链路,所以管理员需要根据实际情况设置合理的权重。

当企业从不同ISP处获得多条性能不等的链路时,为了优先使用转发性能最优的链路,保证大多数用户的访问体验,且不浪费其它性能稍差的链路,可以选择该选路方式。具体示例请参见根据链路权重负载分担。

根据链路优先级主备备份

FW优先使用主接口转发流量。

(数字越大,优先级越高)

在各条链路的出接口上配置优先级,优先级最高的接口称为主接口,其他优先级的接口统称为备份接口。

该智能选路方式分为两种场景:主备备份场景和负载分担场景,具体请参见根据链路优先级主备备份。

当企业从不同ISP处获得多条链路时,如果各链路的带宽、转发时延、链路租借费用等因素存在较大差异,那么可以优先使用某些链路传输流量,并利用其他链路作为备份链路或负载分担链路,提高业务的可靠性,此时可以选择该选路方式。具体示例请参见根据链路优先级主备备份。

根据链路带宽负载分担

如图1所示,FW拥有3条出接口链路,分别属于不同的ISP。其中,ISP1的链路带宽为200M,ISP2和ISP3的链路带宽均为100M,所以带宽比例为2:1:1。当FW转发一段时间流量后,各链路上累计传输的流量将分别占到总流量的50%、25%、25%,即各链路传输流量的比例和带宽的比例成正比。


FW是根据各接口指定带宽的比例来分流的,而不是根据流量的实时流速。所以实际上各接口链路上分配的流量比例很难和设置的带宽比例一致,总是会有波动。

比如有3条接口链路,带宽比例设置为2:1:1,此时有4条流量,FW分别将这4条流量按照2:1:1分配到这3条接口链路上,即接口1分了2条流,接口2和3各分了1条流。但每条流的流速不一样,所以此时接口上转发的流量大小比例并不是2:1:1。

为了保证链路不会过载,管理员设置了过载保护阈值,各链路均为90%。当某条链路的带宽使用率达到90%时,已建立会话的流量仍从该链路转发,但是后续新建立会话的流量不再通过此链路转发,FW会在未过载的链路中智能选路,后续流量按照未过载链路之间的带宽比例进行负载分担。如果所有链路都已过载,那么FW将继续按照各链路的带宽比例分配流量。

图1 根据链路带宽负载分担

图片.png


根据链路质量负载分担

丢包率、时延和时延抖动是FW衡量链路质量的3个参数。表2列出了3个链路质量参数的计算方法。

链路质量参数

计算方法

丢包率

FW发送若干个探测报文后,将统计丢包的个数,并计算丢包率。丢包率等于丢包个数除以探测报文个数。

时延

回应报文的接收时间减去探测报文的发送时间即为时延。FW发送N个探测报文后,将分别计算每次探测的时延,并取N次探测的平均值作为最终结果。

时延抖动

相邻两次探测的时延之差取绝对值即为时延抖动。FW发送N个探测报文后,将分别计算相邻两次探测的时延之差并取绝对值,然后取所有时延抖动的平均值作为最终结果。

FW自动向目的IP发送链路质量探测报文,获取各链路的传输质量信息,并将链路质量探测结果保存在链路质量探测表中。当有流量到达FW时,FW首先根据报文的目的IP去匹配探测表,如果匹配则根据探测表中记录的出接口转发流量;如果未匹配,则自动向目的IP发起质量探测选择最优的链路转发流量,并将探测结果记录在链路质量探测表中,当质量探测表项老化后,新的流量触发智能选路时需要重新进行链路质量探测。

缺省情况下,链路质量探测报文的协议类型为tcp-simple(FW使用TCP报文检查网络的连通性,只要目的设备回应第一个探测报文,即认为链路是可用的,无需完成三次握手)。此时,FW针对TCP业务流量使用tcp-simple协议进行质量探测,针对非TCP业务流量使用ICMP协议进行质量探测。探测报文的协议类型还可以修改为ICMP,此时FW针对所有业务流量都使用ICMP协议探测进行质量探测。

为了简化配置、减轻探测对设备性能的影响,FW将对单个IP的质量探测结果当做该IP所在网段的质量探测结果,管理员可以根据实际需要扩大或缩小网段的范围。

如图2所示,FW拥有3条出接口链路,分别属于不同的ISP。FW向各个ISP内的指定设备发送5个探测报文,其中ISP1链路没有丢包,ISP2链路丢了2个包,ISP3链路没有收到回应报文。所以FW判定ISP1的质量最高,将优先使用ISP1链路转发流量,只要探测表项没有老化,FW就一直使用ISP1转发流量,不会使用ISP2链路和ISP3链路。如果管理员为各链路设置了过载保护阈值,那么当ISP1链路的带宽利用率达到阈值时,ISP1链路将不再参与智能选路,FW会选择其他链路中质量最高的ISP2链路转发后续流量。

图2 根据链路质量负载分担

图片.png


根据链路权重负载分担

如图3所示,FW拥有3条出接口链路,分别属于不同的ISP。其中,ISP1的链路权重为5,ISP2的链路权重为3,ISP3的链路权重为2,所以权重比例为5:3:2。当FW转发一段时间流量后,各链路上累计传输的流量将分别占到总流量的50%、30%、20%,即各链路传输流量的比例和权重的比例成正比。

为了保证链路不会过载,管理员设置了过载保护阈值,各链路均为90%。当某条链路的带宽使用率达到90%时,此链路将不再被分配流量,FW会在未过载的链路中智能选路,后续流量按照未过载链路之间的权重比例进行负载分担。如果所有链路都已过载,那么FW将继续按照各链路的权重比例分配流量。

图3 根据链路权重负载分担

图片.png


根据链路优先级主备备份

该智能选路方式分为两种场景:

主备备份场景:FW优先使用主接口转发流量。如果没有为主接口链路指定过载保护阈值,那么即使链路过载,FW也不会使用其他链路传输流量。只有当主接口链路发生故障后,优先级次高的备份接口才被启用以替代主接口,而其他优先级更低的备份接口则仍未启用。负载分担场景:为了提高传输的可靠性和负载能力,可以为各接口链路设置过载保护阈值。当主接口链路过载时,FW会使用优先级次高的备份接口和主接口一起分担流量。当主接口和优先级次高的备份接口都过载后,余下的备份接口中优先级最高的接口才被启用进行流量分担。

如图4所示,FW拥有3条出接口链路,分别属于不同的ISP。其中,ISP1的链路优先级为8,ISP2的链路优先级为3,ISP3的链路优先级为1,ISP1的链路优先级最高。管理员设置了过载保护阈值,各链路均为90%。FW优先使用ISP1链路转发流量,当ISP1链路的带宽利用率达到90%后,启用ISP2链路和ISP1链路一起分担流量。当ISP1链路和ISP2链路都过载时,启用ISP3链路和ISP1、ISP2链路一起分担流量。当3条链路都过载时,FW将按照各链路带宽的比例分配流量,不再根据链路优先级来分配。

图4 根据链路优先级主备备份

图片.png




1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙:了解全局选路策略(智能选路、全局选路策略)(根据链路带宽负载分担、根据链路质量负载分担、根据链路权重负载分担、根据链路优先级主备备份)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!