华为“智能选路”技术：让你的网速飞起来

一个人生哲理：选对路最重要

你有没有遇到过这种情况？听说近郊有一个山清水秀的地方，周末呼朋唤友兴冲冲地驾车出游。在陌生的岔路口却选错了路，一路上又窄又堵。当花费大量时间折腾到目的地是，出游的好心情都没了。这其实隐含了一个人生哲理：“选对路永远最重要！”

在网络的世界里，流量的通信流转与现实世界的交通有很多相似之处，这个原则同样适用。当前，很多企业、学校和宽带服务提供商都租用了多条来自于不同ISP（互联网服务提供商）的链路。在这些地方，你常常会听到抱怨： “上网怎么这么慢？不是刚租了新链路吗，带宽又不够了？”如果你仔细地分析一下，其实网速慢不一定是因为带宽不足，而是因为流量没选对路。

目前，企业级用户的广域网传输问题主要来自两方面，即链路与应用。传统的互联网加速设备采用数据缓存、TCP优化及应用优化、数据压缩及QoS控制等技术，部分的解决了应用传输的问题，但对于链路间的流量负载分担没有很好的办法。你是否知道，有些下一代防火墙除了完成安全防护工作外，还能提供链路负载均衡的能力？“智能选路”是华为下一代防火墙推出的一种链路负载分担技术，能够充分利用出口链路资源，让网速飞起来。

谁动了你的网速？

绕路的上网流量

为了提供更好访问体验，包括新浪、百度及迅雷等热门的互联网资源都使用了CDN技术，把相同的资源被部署在不同的运营商网络中。如果用户访问的资源与出口链路来自同一个运营商，速度最快；反之，如果跨运营商访问，就会很慢。例如：用户租用了两条出口链路，一条电信的，一条联通的，那么他通过电信的链路访问位于联通的资源就会很慢。

当使用多条运营商链路上网时，传统设备会采用等价路由将流量平均的分配到这些链路上，如果链路和访问资源所属的运营商不一致，就会出现跨运营商访问的情况，体现为上网慢。这一方面是因为流量绕了远路，另一方面是因为各个运营商网络间的接口带宽很窄，很容易出现阻塞的情况。

垃圾应用占用了优质通道

当然，不是所有的人和所有的上网场景都这么慢。令人郁闷的是，P2P下载、在线电影之类休闲娱乐的上网速度都很快，而那些真正重要的应用（如网页浏览、视频会议）却很慢。这一点都不奇怪，因为P2P这类应用设计时就倾向于占用尽量多的资源，因此它们“生命力”和“侵略性”更强。好比虽然高速公路上路很宽，但如果道路都被大货车了占了，你也就只能调整好心态跟在它们屁股后面慢慢开，这样的速度可想而知。

链路负载不均

网速缓慢时，你的链路未必得到了充分利用。由于连接Internet的链路带宽可能不尽相同，当一些小带宽链路超负荷使用时，高带宽链路远未达到极限。这时候，再分配到满负荷链路的上网流量就会阻塞。传统的路由设备像一个蹩脚的交警，不去理会道路容量的差别，不管是单车道、双车道还是4车道，只是僵化地把车辆往各条道路上平均分配。这样一来，低带宽链路就成了“木桶的最短板”。

“智能选路”助网速起飞

选路基本原则一：ISP选路，尽量选择最近的路

下一代防火墙采用ISP选路的方式解决流量的“绕路”问题。简单的说，就是根据流量的目的选择对应运营商的出口。例如：如果访问联通的资源，就会自动选择联通的出口链路。但如果所有的流量都要通过联通的链路访问资源，反而会导致这条链路阻塞。因此，ISP选路只是基础，需要结合其他“宏观调控”手段，将流量分担到其他链路上。

选路基本原则二：基于业务选路，把好钢用在刀刃上

“抓大放小”是网络优化中最朴素的原则。下一代防火墙可以通过对应用、用户、QoS标签的识别，把关键用户和关键业务的流量识别出来，继而使用最优的出口资源进行保障。承载业务的出口资源可能是一条物理链路，也可能是一个VPN通道。区分优先级的好处是在资源有限的前提下实现了用户体验的最大化。易于业务的选路同样是智能选路的基本原则，可以和其他负载分担方法结合使用。

分流方法一：基于链路带宽选路

基于链路带宽选路，是根据链路的实际承载能力分担流量的方法。例如：出口有两条链路，一条带宽200Mbps，另外一条500Mbps。当采用基于带宽选路时，流量的分担比例就会是2:5。这种分流方法最大化地使用了带宽资源，不会出现链路“忙闲不一”的状况。当企业从不同ISP处获得多条带宽不等的链路时，为了充分利用各链路的带宽，提高链路的利用率，可以选择此种选路方式。

分流方法二：基于主备优先级选路

一些大企业的分支会采用双线接入的方式与总部连接。通常以专线接入为主，Internet上的VPN通道为辅；有些企业以有线接入为主，无线接入为辅。主接入质量更高，资费固定，因此被优先使用。辅链路质量稍差，有时会根据使用流量收费，仅在主链路故障或过载时使用。基于主备优先级的选路多用于这种场景，既优先使用了优质资源，又能保证业务的持续可靠。

分流方法三：基于链路质量选路

由于Internet的复杂性，很多时候链路的质量状况并不是持续不变的，很难事先判定。对于这种情况，NGFW能够根据各链路的实时传输质量动态调整流量的分配。对于需要链接总部数据中心的大企业分支，采用基于质量的选路可以有效消除网络不稳定对业务的影响，从而减少专线租用的需求。

分流方法四：基于链路权重选路

如果管理员对链路的情况非常清楚，可以用基于链路权重的选路方法。制定各条链路的分配比例，下一代防火墙将基于这个比例分配流量。这种方法给管理员最大的自主性。当企业从不同ISP处获得多条性能不等的链路时，为了优先使用转发性能最优的链路，保证大多数用户的访问体验，且不浪费其它性能稍差的链路，可以选择此种选路方式。

下一代防火墙将承担更多责任

下一代防火墙部署在网络边界，具备应用识别的能力，用它来承担链路负载分担的角色具备得天独厚的条件。除了传统防火墙、入侵检测、防病毒等安全防护功能外，下一代防火墙在网络中应当承担更多的责任。凭借华为的“智能选路”技术，下一代防火墙可以根据ISP选路和业务优先级进行分流。通过链路带宽、主备优先级、质量和链路权重等多种负载分担算法，充分利用链路资源加速网络访问。

华为USG6000下一代防火墙全系列产品均具备智能选路的能力，包括被誉为“中小企业网络安全的瑞士军刀“的热销款型USG6330，以及新推出的百兆型号USG6306和USG6308，即将在西安举行的2015华为中国合作伙伴大会上亮相。USG6330下一代防火墙集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏等全面防护于一体，同时兼具智能选路的能力，仅需部署一台设备，就能满足中小企业网络防护的各种需求。一经推出，持续热销。与传统的网络安全方案相比，部署USG6330网络拓扑更清晰，维护更简单。充分利用已有带宽，提升上网体验。

2015年3月12日到13日，华为将在西安曲江国际会展中心举办“2015华为中国合作伙伴大会”。本届大会将以“智汇阳光 共襄新程 —— 超越梦想 共铸辉煌”为主题，面向数千家合作伙伴全方位展示华为针对企业市场的ICT产品和解决方案，并发布最新的渠道战略和更加完善的渠道政策。