BEST 智能选路

适用版本 BBC2.5.44 、 AF8.0.51 及以上

版权所有 © 2022 深信服科技股份有限公司 第 1页

课程内容 课程目标
了解 BEST 智能选路需求背景，四种选路策
BEST 选路功能概述
略和选路机制。
BEST 选路可视化概述 了解 BEST 选路可视化大屏展示内容含义
BEST 选路策略配置案例 掌握 BEST 选路功能的配置方法和注意事项。

版权所有 © 2022 深信服科技股份有限公司 第 2页

 BEST 选路功能概述

版权所有 © 2022 深信服科技股份有限公司 第 3页

BEST 选路功能概述

需求背景

（ 1 ）原先选路策略不支持应用类型驱动的选路策略，用户需配置内网服务，操作较为繁琐低效；

（ 2 ）缺乏智能选路功能，无法自适应选择线路，线路切换，故障避免策略较为单一。

BEST 选路策略上目前支持 4 种：
无法在有效时间到达的数据包占总体百分比

1. Auto Go 智能负载选路
丢包率
2. 按指定顺序选路 顺序、间隔和出发
传输时间值超过平 时的差异超过平均
均时间值的数据包 水平的数据包占总
3. 优先使用质量最优的线路 占总体百分比
延时率 抖动率
体百分比

4. 按剩余带宽比例负载

版权所有 © 2022 深信服科技股份有限公司 第 4页

BEST 选路功能概述
选路总体方案介绍：

触发重选路场景：

1. 线路中断，立即生效切换

2. 线路劣化，当达到线路不可用阈值（丢包≥ 11% | 时延≥ 400ms | 抖动≥ 500 ）时切换

3. 周期性选路，上一次选路 10s 后，会重新调度 AUTO 选路算法

版权所有 © 2022 深信服科技股份有限公司 第 5页

BEST 选路功能概述

流量分类介绍

1. 应用 DPI （全称为“ Deep Packet Inspection” ，称为“深度包检测”）

解析协议报头，识别网络分组的应用层内容的指纹、 IP 地址、端口号、应用协议名称等信息识别应用

适用场景：未加密的流量和已配置好规则的应用（ DPI 库）

2. 应用 DFI （ (Deep/Dynamic Flow Inspection ，深度 / 动态流检测 ) ）

基于流量特征的统计信息进行流量类型识别，比如数据包大小，发包频率，上下行数据的比例等

适用场景：加密流量、应用内部行为复杂

SD-WAN 流量识别的方式基于 DPI 应用识别之上，根据应用的流量特征，实时地进行应用行为判断。该方法可

以解决流量加密，应用内部行为过于复杂时应用类型较为模糊的问题。

交互类应用：流量较小， 实时类应用：特指视频语 传输类应用：流量较大，

客户与服务程序进行交互 音类应用，可采用 DPI 对 文件下载上传类应用。
操作的应用。 协议解析完成识别。

版权所有 © 2022 深信服科技股份有限公司 第 6页

BEST 选路功能概述
BEST 四种选路策略介绍：
选路策略 策略介绍 适用场景

在外网存在多条 SD-WAN 隧道的情况下，可以根据业务特性 业务种类多的场景，系统可以自动检测、自动

Auto Go 智能负载选路
（实时类、传输类、交互类）自动负载到最佳链路上传输。 选路、无需人工参与

当外网存在多条线路进行数据传输时，指定某个业务承载在固
按指定顺序选路
定链路上，用于保证重要业务的传输质量。
在出口线路中，人为评估有最优的线路，且认
为该线路能够较稳定的承载指定业务（一般为
有专线的情况下，指定核心业务走专线）。

优先使用质量最优的线路
数据包转发时，会根据当前探测每条链路的网络质量（丢包、 当线路的质量随时可能发生变化，需要保证重
延时、抖动）选择最优的可转发线路进行数据转发。 要业务始终跑在最优线路上。

按剩余带宽比例负载 多连接、多链路带宽使用不均的场景下，会根据各链路剩余带
当多条线路延迟、丢包情况相差较大时，需要
宽情况分配数据的负载，链路剩余带宽越多，数据分配到该线
实现多连接最大化利用每条线路带宽。
路的概率就越大，从而实现多条链路带宽均衡负载。

版权所有 © 2022 深信服科技股份有限公司 第 7页

BEST 选路功能概述
Auto Go 智能负载选路策略

AUTO GO 选路原理：以应用体验出发，建立应用体验与线路丢包、时延、抖动的映射关系对线路进行档次划分，
在同一档线路进行线路负载的策略来提高线路的负载均匀能力，避免不必要的线路切换。

AutoGo 选路 SLA 分档介绍：

1. 当前 vpn 线路中会根据交互类、实时类、传输类不同的 SLA （丢包、时延、抖动、剩余带宽）各分为不同档

次

2. 线路可用带宽不足时，会将线路从高档次降低到最低档

交互类应用 实时类应用 传输类应用

•以体验时延为线路分档依据 •以丢包为主，时延、抖动为辅 •以传输速率进行线路分档
•同一档次线路，按剩余带宽负 进行线路分档 •同一档次线路，按自身占用带
载 •同一档次线路，按剩余带宽负 宽 + 剩余带宽进行负载
载

优先选择体验 优先选择丢包 优先选择传输

时延低的线路 低的线路 速率高的线路

版权所有 © 2022 深信服科技股份有限公司 第 8页

BEST 选路功能概述
按指定顺序选路策略

指定应用（服务）优先转发的线路，同时能调整指定线路的优先级顺序。在进行数据转发时，优先使用排序靠
前的线路进行转发，当前面线路故障时，切换到下一顺位的线路转发数据。

Internet_1

Internet_2

SD-WAN 设备 SDWAN 设备

Internet_3

按指定顺序线路选路功能会将特定应用或服务转发到指定线路上，避免走其他线路。一般将核心业务流量指定
走线路质量良好的线路，保证核心业务流量的传输质量。
版权所有 © 2022 深信服科技股份有限公司 第 9页
BEST 选路功能概述
优先使用质量最优的线路策略

进行数据包转发时，会根据各个线路的实时质量状况（丢包、延时、抖动），选择最优的可转发线路进行数据
转发。 20ms 0.2%Loss

Internet_1

50m
oss

s0
10ms 0%Loss

. 3%
%L
s0

Lo s
50ms 0.3%Loss

10m

s
Internet_2

60ms 0.3%Loss

SD-WAN 设备 SD-WAN 设备

90m
10ms 0.1%Loss 30ms 0.1%Loss
oss
%L

s0
0.1

.1%
s

Los
10m

Internet_3

s
20ms 0.2%Loss

1 、最优线路选路策略的会话保持机制：会话 +QOE 来选路的。举例：当前有 1 、 2 、 3 三条链路， 20s 这一刻 1 链路质量最佳， a 会话过来时会

负载在 1 链路上，同时开启会话保持 +QOE 探测，之后该会话的所有数据都会往 1 链路进行传输。同时设置线路可用最低 SLA 小于 5% ，那么当 1
链路丢包超过 5% 时才会切换，否则基于会话保持机制会一直负载在 1 线路上。

2 、应用与会话的关系：同一个人使用同一个应用可能存在多条会话，比如 FTP 就会出现 2 条会话，一个是控制协商会话，协商一个可用的数据传

输端口；一个是数据传输会话，进行实际的数据传输。
版权所有 © 2022 深信服科技股份有限公司 第 10页
BEST 选路功能概述
优先使用质量最优的线路策略 --- 线路多重选路机制保障选路质量稳定可靠

优先使用质量最优选路策略除了考虑线路权值之外，同时也将线路对当前服务优先级的剩余带宽作为选路依据，
当线路无法承载当前优先级的应用时，该线路不会被选中。因此高质量选路会选择对当前服务优先级有可用带
宽，同时权值最小的线路作为转发线路。

另外，当选定线路都无法承载当前服务优先级的数据时，会从未选中运营商和跨运营商线路中选择质量最优线
路对该连接进行数据转发。通过多重选择来保证被选中的传输线路质量稳定可靠。

版权所有 © 2022 深信服科技股份有限公司 第 11页

BEST 选路功能概述
按剩余带宽比例传输策略说明：通过计算实时的线路剩余带宽，将不同的业务数据按不同的概率负载至不同的
链路上传输。 线路 1 ：剩余 40M

线路 2 ：剩余 20M

SD-WAN SD-WAN
设备 线路 3 ：剩余 设备
10M

1 、如何实现链路带宽检测 – 令牌桶技术

大小固定的令牌桶可自行以恒定的速率源源不断地产生令牌。如果令牌不被消耗，或者被消耗的速度小于产生的速度，令牌就会不断地增多，直
到把桶填满。后面再产生的令牌就会从桶中溢出。最后桶中可以保存的最大令牌数永远不会超过桶的大小。传送到令牌桶的数据包需要消耗令牌。假
设线路带宽为 100M ，那么令牌桶的大小会以 100M 来计算，令牌产生的速度也会以 100M 来计算；当传送到令牌桶的数据包消耗令牌时，此时就
能计算出剩余的线路带宽值。

2 、针对不同的会话进行多链路负载的机制

12 ： 00 ： 00 时这一刻，假设当前 3 条线路分别剩余 40M 、 20M 、 10M ， a 应用到达 SD-WAN 设备且开启按剩余带宽选路，则 a 应用有 4/7
的概率走线路 1 ， 2/7 的概率走线路 2 ， 1/7 的概率走线路 3 ； 12 ： 01 ： 00 这一刻，假设当前 3 条线路分别剩余 10M 、 20M 、 30M ，则 b
应用有 1/6 的概率走线路 1 ， b 应用有 2/6 的概率走线路 2 ， b 应用有 3/6 的概率走线路 3 。

3 、线路多重选路机制保障选路质量稳定可靠

同高质量选路一样，当选定的线路无法承载当前服务优先级流量时，该线路不会被选中。 当所有选定的线路都无法承载当前服务优先级流量时，将
从未选中运营商线路和跨运营商线路中按照高质量选路方法选择一条线路进行数据包转发。通过以上逻辑，每次选路都会按照当前剩余带宽来计算和
分配，带宽利用比例均衡。而且还会考虑带宽质量，选路质量稳定可靠。

版权所有 © 2022 深信服科技股份有限公司 第 12页

 BEST 选路可视化概述

版权所有 © 2022 深信服科技股份有限公司 第 13页

BEST 智能选路可视化概述
• 需求背景

用户期望具备线路选择，应用流量可视的功能，同时提供线路避障信息便于问题分类分析。

• 功能介绍

• 应用选路可视：

（ 1 ）支持隧道模式和设备模式：隧道模式即查看该隧道应用选路情况，设备模式则查看对应设备所有 VPN 应
用的选路情况。

（ 2 ）可查看不同优先级应用的选路情况

（ 3 ）可查看不同应用类型的选路情况

（ 4 ）可查看不同线路，不同应用的流量情况

• 设备避障结果可视：

展示当天线路劣化，线路中断，线路带宽占满的选路情况

版权所有 © 2022 深信服科技股份有限公司 第 14页

BEST 智能选路可视化概述
登录 BBC 集中安全管理平台，点击 [ 大屏 ]-[VPN 业务选路大屏 ] ，可查看针对 VPN 业务的 Best 选路策略结果。

如下所示：

版权所有 © 2022 深信服科技股份有限公司 第 15页

BEST 智能选路可视化概述
登录 BBC 集中安全管理平台，点击 [ 大屏 ]-[VPN 业务选路大屏 ] ，可查看针对 VPN 业务的 Best 选路策略结果。

如下所示：

版权所有 © 2022 深信服科技股份有限公司 第 16页

 BEST 选路策略配置案例

版权所有 © 2022 深信服科技股份有限公司 第 17页

BEST 选路功能应用场景
 Auto Go 智能负载选路场景

客户总部和分支存在多条 SD-WAN 隧道的情况下，可以根据业务特性（实时类、传输类、交互类）将流量自动

负载到最佳链路上传输。

 按指定线路选路场景

客户环境的出口线路中，人为评估有最优的线路，且认为该线路能够较稳定的承载指定业务（一般为有专线的
情况下，指定核心业务走专线）。

 优先使用质量最优线路选路场景
客户期望核心应用始终跑在线路质量最优的线路上，避免因为线路质量问题影响业务访问体验。可以选择按质
量最优线路选路模式，将核心应用流量负载到质量最优线路上，达到保障核心应用传输的质量。

 按剩余带宽比例负载场景

当客户期望最大化利用现有所有线路带宽时，可以选择按带宽比例选路模式，将多条连接的流量负载到多条线
路中，达到线路的最大带宽利用率。

版权所有 © 2022 深信服科技股份有限公司 第 18页

配置思路
1. 在 SD-WAN 分支和总部之间创建 Sangfor VPN 连接。

2. SD-WAN 总部和分支均已接入 BBC ，在 BBC 上创建 SDWAN 选路策略模板，关联总部与分支设备。

3. 进入选路策略模板进行 SDWAN 选路策略配置。

4. SDWAN 选路策略中配置相应的应用匹配规则（可自定义应用）、选路模式、选择相应的 VPN 线路、选择

线路可用最低 SLA 要求、选路保障机制。

5. 策略配置完成之后，选择下发模板配置，将配置下发到 SD-WAN 总部与分支设备上。

版权所有 © 2022 深信服科技股份有限公司 第 19页

配置案例

客户北京分公司跟总部有两条 100Mbps 的互联网线路，近期 OA 应用系统上线，由于 OA 应用比较重要需要

保障该应用的传输，当分支互联网线路 1 故障或者劣化时候， OA 应用系统可基于当前质量最优的线路传输；
同时客户希望通过 SD-WAN 智能选路将两条线路充分利用起来，保证 ERP 业务可以在两条线路上同时传输。

SANGFOR VPN 连
接

BBC 集中管理平台

111.111.111.2

SDW-R
222.222.222.2
深圳总部 Client
Server 北京分支
AF 172.16.2.2
10.10.1.2 SDW-R

SANGFOR VPN 连接

版权所有 © 2022 深信服科技股份有限公司 第 20页

配置步骤

1. 深圳总部 AF 和北京分支 SDW-R 基于两条互联网线路，建立两条 Sangfor VPN 连接。

版权所有 © 2022 深信服科技股份有限公司 第 21页

配置步骤

2. 登录 BBC 集中安全管理平台，进入【管理】 - 【统一管理平台应用】，基于客户 OA 和 ERP 的协议特点，

自定义 OA 和 ERP 的业务应用类型，应用定义完成后，点击【下发应用库】，如下所示。

版权所有 © 2022 深信服科技股份有限公司 第 22页

配置步骤

3. 登录 BBC 集中安全管理平台，进入【 VPN 】 - 【 SDWAN 智能选路】 - 【 SDWAN 选路模板】，新增

SDWAN 选路模板，勾选总部和分支的设备。

版权所有 © 2022 深信服科技股份有限公司 第 23页

配置步骤

4. 点击新建的 SDWAN 选路模板名称，新增 SDWAN 选路策略，配置针对 OA 业务的质量最优线路选路策略，

选路模式选择：优先使用质量最优的线路，选择当前可用线路。如下所示。

版权所有 © 2022 深信服科技股份有限公司 第 24页

配置步骤

5. 新增 SDWAN 选路策略，配置针对 ERP 业务的线路负载选路策略，选路模式选择：按剩余带宽比例负载，

选择当前可用线路。如下所示。

版权所有 © 2022 深信服科技股份有限公司 第 25页

配置步骤

6. SDWAN 选路策略配置完成后，点击【下发模板配置】，此时设备会收到选路策略配置，可登录设备做查看。

版权所有 © 2022 深信服科技股份有限公司 第 26页

效果测试

登录 BBC 集中安全管理平台，点击【大屏】 - 【 VPN 业务选路大屏】，查看业务选路详情，可看到 ERP 业务

在当
前两条 VPN 连接上实现链路负载， OA 业务会基于当前线路 QOE 探测质量做线路动态切换。

版权所有 © 2022 深信服科技股份有限公司 第 27页

注意事项
1. 需确保参与选路的所有链路都有创建 VPN 连接，即专线链路也需要创建 VPN 连接。 AF 设备建立 Sangfor
VPN 默认不勾选 VPN 内网接口，需要手动选择 VPN 内网接口才可正常建立 VPN ，如图 1 。

2. AF 8.0.51 版本未加入 BBC 前提下可本地配置，加入 BBC 后只能通过 BBC 选路模板下发，或如图 2 。

图1 图2

3. AF 建立 Sangfor VPN 连接，需要配置应用访问控制策略，放行 VPN 业务流量，以下图为例。

版权所有 © 2022 深信服科技股份有限公司 第 28页

版权所有 © 2022 深信服科技股份有限公司 第 29页