华为防火墙智能选路：过载保护与会话保护

华为防火墙智能选路：过载保护与会话保护

过载保护存在的问题：

智能选路接口可以配置过载保护阈值，当接口链路的带宽利用率达到过载保护阈值时，FW对新流量进行智能选路时将排除该过载链路，在其他未过载的链路中进行选路。这样可能会导致用户上网流量在接口链路过载前选择了该接口链路，而新建会话流量（如打开新网页）因为原接口链路过载而被FW从其他接口转发出去，从而出现已经登录的网站在刷新后需要重新登录，网络游戏在链路切换后掉线，甚至某些网上银行业务因检测到IP地址变化而拒绝用户访问等现象。

会话保持

FW支持在四种智能选路方式中配置会话保持功能。

智能选路接口可以配置过载保护阈值，当链路的带宽利用率达到过载保护阈值时，FW对新流量进行智能选路时将排除该过载链路，在其他未过载的链路中进行选路。这样可能会导致用户上网流量在链路过载前选择了该链路，而新建会话流量（如打开新网页）因为原链路过载而被FW从其他链路转发出去，从而出现已经登录的网站在刷新后需要重新登录，网络游戏在链路切换后掉线，甚至某些网上银行业务因检测到IP地址变化而拒绝用户访问等现象。

为了解决上述问题，可以开启智能选路会话保持功能。

开启该功能后，上网用户流量进行首次智能选路选择某链路后，FW会生成相应的会话保持表项，新流量如果命中了该会话保持表项，FW按照会话保持表项中记录的链路转发流量，这样能保证该用户的流量始终使用同一链路转发。

以基于源IP的会话保持模式为例介绍会话保持的原理，如图5所示，用户A的上网流量进行首次智能选路后，会生成一个会话保持表项，其中包含了源IP地址、匹配的智能选路策略ID和首次选路的出接口。当该用户再次发起连接时，FW会根据新流量中的源IP和匹配的智能选路策略ID查找相应的会话保持表项，并直接使用会话保持表项中记录的出接口转发该流量，这样就保证了此用户的流量始终使用同一出接口转发。

图5 会话保持

使用display session persistence table命令查看会话保持表项。