隨著我國高校的逐年擴招與互聯(lián)網應用的飛速發(fā)展，導致高校校園網流量增長迅速，網絡基礎設施正在從千兆向萬兆改造，特別是對出口帶寬的擴容需求迫切。高校網絡除了接入教育網外，為了保障出口的可靠性，也會租用不同電信運營商(比如中國電信、中國聯(lián)通、中國移動、電信通等)的鏈路連接到Internet，于是就形成了校園網多鏈路出口的局面。那么，當校園網流量到達出口的時候，報文該如何選擇出口并進行轉發(fā)呢?

高校網絡出口流量分擔核心訴求

校園網用戶的網絡體驗是首要的考慮因素。在當前的網絡機構中，雖然教育網與互聯(lián)網是聯(lián)通的，但是教育網與運營商以及各大運營商網絡之間的流量轉發(fā)是存在帶寬限制的，這一客觀事實便導致跨網訪問延時大、網絡慢的上網感受。由于教育網是專門面向教育和科研單位的互聯(lián)網絡，聯(lián)通了幾乎所有高校，擁有豐富的教學科研類的資源。而互聯(lián)網相對教育網來講，可以看作為“公網”，擁有更多生活娛樂類的資源。隨著網絡的發(fā)展，教育網和公網的資源呈現(xiàn)融合互補的一個趨勢。此外，教育網除了提供教育與科研相關的資源以外，還對國內各大門戶網站等主流互聯(lián)網資源進行了鏡像，為校園網用戶提供便捷的訪問。然而，仍然有眾多的公網應用與資源在電信、聯(lián)通甚至國外網絡中。此時校園網用戶訪問外部網絡資源的出口選路問題尤為突出。另一方面，也會出現(xiàn)從公網訪問校園網內部的情況，如學校/院系網站、遠程教育、圖書館資源以及遠程辦公/訪問。良好的網絡體驗需要保證校園網與公網之間雙向訪問的用戶上網感受。

其次，對校園網的多出口鏈路要物盡其用，盡量保證各條鏈路的使用效率，***限度的為校園網業(yè)務提供可靠的運行環(huán)境。如果某條鏈路過載，而其他鏈路過閑，就是對鏈路帶寬資源的浪費。同時，由于不同運營商鏈路的租金通常是存在差異的，當租金較高的鏈路承載過多的出口流量時，勢必會造成一定程度的成本提升。

智能選路破解多出口流量分擔的窘境

智能選路是按照預設策略在校園網出口將流量自動的在各條鏈路上進行合理的分配處理，實際上這正是鏈路負載均衡的核心要義。智能選路包含了一系列相關的功能，根據不同的實際需求，設置不同的出口鏈路選擇策略。按照原理可以將智能選路方式大致劃分為兩大類：基于流量分擔與基于業(yè)務保障。

基于流量分擔的選路策略主要目的是更有效的將從校園網內部到外部流量在出口的多條鏈路上進行均衡和分擔，包括：等價路由、基于鏈路帶寬的選路和基于鏈路權重的選路。

等價路由

等價路由是一種基本選路策略，通過靜態(tài)路由實現(xiàn)將出口多條鏈路設置成為相同的優(yōu)先級，當校園網內部流量到達出口時，報文被隨機分配到各個鏈路上進行轉發(fā);

基于鏈路帶寬的選路

由于運營商的鏈路租用費用是根據帶寬大小而增長的，因此校園網所租用的鏈路帶寬都是有上限的，如100M、200M等?；阪溌穾挼倪x路策略通過對出口的每條鏈路設定一個***允許通過流量的閥值，當經由某個特定出口鏈路的流量到達閥值時，那么后續(xù)的流量就不再從該出口轉發(fā)，而由其他流量尚未飽和的鏈路承擔;

基于鏈路權重的選路

既然鏈路的帶寬有大小之分，那么可以依據各自吞吐能力情況，給不同鏈路設定一個權重，然后出校園網的流量即可按照權重在出口鏈路上進行分配處理，例如當存在兩條鏈路時，A鏈路帶寬為200M權重為60%，則帶寬為100M的B鏈路權重為40%，流量便可以按照所設比例進行分擔處理;

透明DNS代理

互聯(lián)網上很多的資源與服務在各運營商的網絡中都存在鏡像或者服務器托管，因此所使用的IP地址都是由所屬運營商分配的，某種意義上就是將服務器劃分為電信服務器、聯(lián)通服務器或者移動服務器。如果校園網用戶是默認配置的特定運營商的本地DNS服務器，那么在進行域名解析查詢的時候，極有可能返回的是同一個運營商的服務器地址，也就十分容易造成該出口鏈路擁堵、其他出口鏈路使用不均的情況。針對此問題，校園網出口可啟動透明DNS代理機制，在正式訪問之前即進行域名查詢的時候，由透明DNS代理選擇向某個運營商的本地DNS服務器發(fā)送解析請求，在查詢階段完成對流量的選路引導。此后用戶收到相應服務器地址，后續(xù)訪問數據報文到達出口便能夠選擇服務器所屬運營商的出口鏈路轉發(fā)。

基于業(yè)務保障的選路策略不單關注從校園網訪問外部網絡的流量，而且對從互聯(lián)網進入校園網的流量也加以考慮，側重點在于盡可能優(yōu)化網絡的轉發(fā)過程，降低跨網訪問的影響，同時進一步提升校園網高價值業(yè)務的用戶體驗。

基于ISP的選路

在現(xiàn)有IP地址的分配規(guī)則下，每個運營商都會有各自IP地址網段，互不沖突，于是可在校園網出口預先配置各運營商公網地址池，訪問互聯(lián)網的數據流可按照目的地址選擇相應所屬運營商鏈路作為出口;

鏈路鎖定

鏈路鎖定適用兩種場景，***由校園網內部主動向外部發(fā)起訪問時，***出校園網的報文從A鏈路接口出去，但發(fā)現(xiàn)該會話的回程報文是從B鏈接接口進入的，此時網絡出口設備可認定為B鏈路相對A鏈路是***的，接下的出校園網會話報文更改出口，從B鏈路統(tǒng)一轉發(fā);另一種場景為互聯(lián)網主動訪問校園網內部，***進校園網的報文從A鏈路接口接入，但響應報文到達出口時按照既定路由策略會選擇B鏈路接口作為出口，既然訪問會話發(fā)起報文是從A鏈接進入，出口設備可判定為A鏈路為***路徑，為了保證鏈路一致性，更改響應報文從A鏈路接口原路返回;

出口鏈路探測

互聯(lián)網是全聯(lián)通的，達到同一目的地允許存在多條路徑，然而，每條路徑花費的代價和延時卻不盡相同。高校網絡出口設備應該能夠探測出口鏈路健康狀態(tài)，選擇延時較低的出口鏈路轉發(fā)流量;

基于應用的策略路由

與運營商城域網類似，校園網中同樣充斥著大量P2P流量。這些流量匯聚到網絡出口不僅要占據大部分帶寬，更嚴重的情況是P2P流量搶占高校辦公、視頻會議、遠程教育等主要業(yè)務的出口資源，降低重要業(yè)務傳輸的可靠性。因此，校園網出口要求能夠識別數據流中所承載的業(yè)務應用，按照業(yè)務類型區(qū)分不同出口鏈路進行轉發(fā)，例如將P2P流量分配到租金相對便宜的鏈路，而對于高價值業(yè)務使用專享鏈路，保障其帶寬;

智能DNS

校園網內部同一個服務器通常映射到多個運營商網絡中，服務器使用的公網地址也分屬各自運營商，主要原因正是為了方便互聯(lián)網用戶的訪問。盡管如此，現(xiàn)實網絡中仍然會發(fā)生用戶得到的服務器地址并非自身所屬運營商的現(xiàn)象，例如由于DNS解析過程不區(qū)分IP地址屬性，電信用戶訪問校園網服務器，發(fā)送域名查詢請求，用戶所獲得的響應IP地址卻為服務器在聯(lián)通網絡中使用的IP地址，訪問報文也就會經過跨網轉發(fā)后再到達服務器，網絡延時增大。如果高校網絡出口設備具備智能DNS能力，實時捕獲DNS解析響應報文，將服務器IP地址更改成與互聯(lián)網用戶相同運營商的地址，就可以讓電信用戶通過電信網絡直接訪問校園網內部服務器。

上述內容簡要解釋了智能選路相關的主要機制，每種機制又對應各自實際的應用場景。基本上基于流量分擔的選路策略雖然能夠將流量基本均勻在多條鏈路上分擔處理，不過卻不能考慮報文的目的地址是聯(lián)通的或者電信的，也就是有可能將本應發(fā)往電信網絡的報文選擇到了聯(lián)通的出口鏈路，這樣便發(fā)生跨網轉發(fā)的問題?，F(xiàn)網情況下，智能選路的相關各種機制并非獨立存在，可以根據具體使用情況形成組合策略，這樣既可***限度的降低網絡延遲，保障用戶網絡體驗，也能平衡各條租用鏈路的投入產出比與使用效率。

通常，高校網絡在出口都會部署防火墻或者安全網關，將校園網與外部網絡進行隔離，而且針對各高校IPv4公網地址的數量差異，對于訪問互聯(lián)網的流量還要進行NAT(Network Address Translation，地址翻譯)轉換。此時，為了簡化組網復雜度，避免出口多種功能設備的串聯(lián)，防火墻就成為承擔智能選路重任的***設備。

華為USG9500高性能防火墻在滿足了高校萬兆網絡改造、安全隔離、NAT及IPv6安全需求外，已經全面支持智能選路特性，為高校數字化、信息化的飛速發(fā)展做好了充分準備。