防火墙主要部署在网络边界起到隔离的作用。虽然隔离了内外网，但防火墙也承担起内网与外网互联的作用，内网和外网交互的流量都要经过防火墙来转发。在实际场景中，企业出于带宽和可靠性的要求，会向多个ISP租用多条Internet链路带宽资源，这样处于出口位置的防火墙就有多个出口链路连接到Internet，如何为用户流量选择合适的出口链路将是企业网络管理员需要考虑的问题。

就近选路：是由缺省路由与明细路由配合完成的选路方式，这种方式比较简单，也是最常用的。通过缺省路由可以保证企业用户数据流量都能够匹配到路由转发，而明细路由则让用户访问某ISP的流量从连接该ISP的链路进行转发，避免流量从另外的ISP链路迂回绕道，这就是所谓的就近选路。然而Internet上的众多服务，不可能一条一条地去配置明细路由，有没有一种简单的方法批量配置明细路由呢？这个时候ISP路由功能就有它的用武之地了。ISP路由功能其实是把各ISP的知名网段都集成在防火墙的内部，通过设置指定的出接口和下一跳批量下发静态路由，这样可以极大地减少明细路由的配置工作量。这种选路方式大量使用在电信和联通的服务器访问路由选择中。

策略路由选路：即是根据一定的策略进行报文转发，因此策略路由是一种比普通静态路由、动态路由更灵活的转发机制。路由设备转发报文时，先根据配置的规则对报文进行过滤，匹配成功的报文会按照既定的转发策略进行转发。这种规则可以是基于源IP地址、目的IP地址，也可以是基于用户，还可以是基于某种特殊的应用。比如，企业内网有大流量的P2P业务，为了保证特殊用户（管理者）的带宽需求，可以通过策略路由制定规则让管理者等特殊用户的流量从链路带宽稳定的ISP1链路转发，而P2P等大流量业务则指定从上下行链路带宽严重不对等的ISP2链路转发。

智能选路：是指到达目标网络有多条链路可选时，防火墙可以根据链路带宽、路由权重或者自动探测到的链路质量动态地为内网用户流量选择出口链路，实现链路资源的合理利用。智能选路有三种模式，用户可以根据现网实际需求选择不同的模式。

1. 链路带宽模式

链路带宽模式又有两种模式，一种是在防火墙上是按照每条链路的实际物理链路的带宽比例分配用户流量。另一种是按照管理员在各条出口链路上设置带宽的比例分配用户流量。

2.路由权重模式

按照管理员在各条出口链路上设置的路由权重的比例分配用户流量。

3. 链路质量探测模式

链路质量探测模式是根据流量触发探测每条链路的质量，质量的评价目前是通过时延来完成，时延越小，链路越优。防火墙对质量的评价则是通过丢包率、时延和时延抖动三个参数综合来评价的，管理员可以根据实际需要选择其中的一个或多个参数。三个质量参数中，丢包率是最重要的参数，如果两条链路的丢包率、时延、时延抖动各不相同，那么防火墙判定丢包率小的链路质量最优。

透明DNS选路

当同一个服务在不同ISP内部署时，透明DNS选路能够保证用户访问的流量均匀地分担到每个服务器上，透明DNS选路通过修改用户DNS请求报文的目的地址，让DNS请求报文分担到各个ISP内的DNS服务器上，从而解析出各ISP内Web服务器对应的IP地址，引导用户流量访问各自ISP内的Web服务器。

透明DNS选路有两种算法决定用户DNS请求报文的分配。

（1）简单轮询算法。将DNS请求报文依次分配到各个ISP的DNS服务器上。

（2）加权轮询算法。将DNS请求报文按照一定权重依次分配到各个ISP的DNS服务器上。

管理员可以根据链路带宽、性能等多种因素灵活地选择不同的算法。

总体来说，以上几种选路方式各有特点，应用场景也各不相同，管理员可以根据网络实际需要选择合适的选路方式。当然，在实际网络中，网络环境复杂，用户需求多种多样，单一的选路方式可能难以完成所有需求，需要多种选路方式配合使用方能完成复杂的网络规划。如需对防火墙出口选路深入了解，请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟  IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 俱乐部代表团赴合肥启迪科技城、中安创谷考察学习，与安徽复旦大学校友会共话创业情怀，旦友共创，互助互励！

• 分享到：