【天逸出品】【第卌五期】没那么简单的链路负载

咱们在交付防火墙的时候，经常会碰到防火墙放在网络出口位置的部署方式

这时候，防火墙不仅要承担着防护网络安全事件的责任，还需要做好内网上互联网的路由转换工作

有些客户，外网线路不只是一条，有可能会碰到两条外网，三条外网的情况，有可能是相同运营商，有可能是不同运营商

如何做好路由策略，充分利用带宽，给用户带来极致的上网体验呢？

场景一：

客户多条带宽都是相同运营商。

这个就有点过分简单了，相同的运营商，就用按照带宽比例来分配就可以了

场景二：

客户不同运营商，比如一条联通一条电信接入

那么需要考虑的就多了，带宽比例，访问地址的运营商归属，DNS请求服务器的运营商归属，DNS解析地址和出口地址是否匹配，等等

如果策略做的不合适，经常会听客户反馈，某某某网页打不开了，某某某网页打开特别慢

那么应该怎么做合适呢

首先第一点，要把访问请求按照运营商来分离，让访问联通服务器的通过联通出去，让访问电信的从电信出口出去

先搞两条配置

按照目的地址ISP地址进行初步的策略路由选路，位置放到上面

这样一来匹配到对应运营商的访问请求，就会快速分配到对应链路上

还有一些流量，并不属于这些运营商的

针对这部分流量，做一个保底的流量策略

策略的摆放位置放到最后

这样以来，路由部分就配置完成了。

不过这样配置完成以后，客户还会经常反馈，某些用户上网还存在网页卡慢的问题

这种原因，大部分是因为客户DNS解析的原因

比如客户某台电脑，自己自定义了DNS解析服务器，比如联通的dns服务器，然后解析出来的联通IP地址，实际去访问的时候，由于会话保持，或者连接保持等的原因，通过电信的接口出去访问了，导致访问卡慢

这种情况下，有个通杀的解决方法

首先给防火墙配置上通用的DNS解析服务器

推荐用这两个DNS地址

然后 配置透明DNS代理，代理内网全部的DNS请求

这样不管内网电脑配置的什么DNS服务器地址，经过AF的时候，统一用防火墙上的DNS服务器地址来进行解析

DNS透明代理会在防火墙上面形成缓存，也占不了防火墙多少资源

如果客户还是反馈卡慢

那就需要根据带宽的使用情况，来指定一定的流控策略，保障核心业务的网络通畅性

  

感谢楼主分享！文章对于AF的策略路由进行了详细的介绍，逻辑清晰，讲解详尽，同时针对一些特殊场景如部分网页访问卡慢、DNS解析慢等问题楼主也提供了通用的解决方案，需要注意一点，如果老架构做DNS透明代理那还需要配置针对DNS端口的目的地址转换（PS：从新架构8.0.59版本不需要再配置地址转换），期待楼主有更加精彩的分享~

感谢分享，有助于工作，学习了！！！

感谢楼主分享，学习一下

感谢分享，有助于工作，学习了！！！

感谢分享，有助于工作，学习了！！！

感谢分享有助于工资和学习！

感谢分享

感谢分享，有助于工作，学习了！！！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！