互聯網接入多鏈路解決方案
互聯網接入多鏈路解決方案
隨著網絡辦公、網絡運營及網絡服務對外發布等各項業務的不斷增加,企業網絡性能將面臨嚴重的挑戰。同時,國內各ISP運營商之間存在互通緩慢的問題,網絡閃斷、延時大給一些敏感類的應用程序帶來訪問問題,導致在用戶訪問這些應用程序時,出現訪問時斷時續的問題,有時還存在信息提交不完整現象,在影響工作效率的同時也間接對企業造成了巨大的經濟損失。
企業不斷增長的網絡化應用在通訊效率和可用性等方面對網絡鏈路提出了更高要求,解決網絡系統可靠性、安全性以及網絡高可用性成為確保業務管理和辦公的關鍵性問題。
為保證網絡的高效和穩定,企業一般都會采用多鏈路接入,但過去在多鏈路負載方面通常采用路由器或防火墻設備人工指定某些內部用戶使用某一個ISP提供商,這種方式無法實現鏈路負載和鏈路故障自動切換,不能把多鏈路接入的巨大優勢發揮出來。
因此,我們認為,需要在互聯網接入處采用專業的鏈路負載設備,實現企業內部用戶對外訪問和外部用戶對內訪問的雙向鏈路負載均衡,把對內對外的流量根據預先設定的策略均衡到不同的鏈路上,實時監控鏈路的健康狀況,達到兩條鏈路之間的相互備份功能。
鏈路負載均衡設備可以實現以下功能:
l 靜態和動態的就近性判斷,保證內網用戶以及互聯網用戶永遠都會選擇最優、最佳質量的鏈路。
l 高級和智能的鏈路健康檢測策略,針對每條鏈路進行健康檢測,最終決定鏈路的可用性。
l 對兩條鏈路進行動態負載均衡,在鏈路出現故障時實現智能快速的鏈路切換,保證用戶的高可靠性接入。
l 在基于上述的智能鏈路優選的基礎之上,必須能夠定制特定的策略路由,能夠基于源地址、目的地址以及應用來命中特定鏈路。
l 鏈路負載均衡設備還具有安全防范能力,可支持對P2P軟件數據包的攔截或者帶寬限制,例如:MSN,BITTORRENT,SKYPE,EDONKEY,KAZAA,EMULE等軟件,以節省鏈路出口帶寬。同時可支持應用安全的功能,可以實時過濾不少于1500種目前最流行的病毒,蠕蟲,木馬,后門等入侵攻擊。
互聯網多鏈路解決方案拓撲圖如下:
互聯網接入多鏈路解決方案技術優勢:
就近性路由選擇
為了優化網絡流入和流出的流量,鏈路負載均衡設備為流量實施就近性運算,對流量進行就近性判斷。這個“近”其實是“最佳”的概念,能夠準確有效地選擇最佳路徑。就近性機制可分為靜態和動態兩種方式:
靜態就近性:針對已知的用戶范圍和網絡的就近性(例如聯通用戶應采用聯通線路,電信用戶使用電信線路),設備上可以設置靜態就近性表,要求用戶嚴格按照該表來選擇線路;
動態就近性:考慮路由的跳數、路徑的延遲和負載狀況來進行對每個訪問發起點的就近性運算,選擇最佳的流入流量傳輸路徑,進行最終的解析地址。
鏈路健康檢查
負載均衡設備能夠提供健全和靈活的鏈路判斷機制,可以靈活有效地判斷Internet鏈路的健康狀況,作為分配流量的前提。
當ICMP的數據包出于安全原因而被ISP禁止時,可以通過多個Internet站點的可達性,來共同判斷一條鏈路的狀況。例如,通過電信線路檢查www.sina.com、www.sohu.com、以及www.google.com的TCP 80端口,并對檢查結果做“或”運算。這樣,只要其中一個站點可達,即可表明鏈路狀態良好。該方法即避免了ICMP檢查的局限性,也避免了單一站點檢查帶來的單點失誤。
一條訪問鏈路的健康狀況不僅僅是由ISP的路由器的狀況決定的。因此,負載均衡設備可以做到從發起端到接收端進行全面而精確的健康檢查,最多能夠完成10跳路由的健康的檢測,從而保證整條數據鏈路的通暢,提高服務質量。
分組策略
負載均衡設備能根據用戶的特殊需要實現類似策略路由的方式,這里稱為分組。分組的功能可以根據流量的目的地址、端口號、源地址等強制把流量定向到某一條鏈路,其它鏈路可以設置為備份狀態。
出站流量的負載均衡
當內部網絡用戶訪問企業外部的資源,負載均衡設備會根據預先設定的策略或就近性選擇最佳鏈路,一旦鏈路選定,就會根據相應鏈路進行地址翻譯并記錄該用戶選擇的鏈路。當所有策略全部不匹配時,會根據負載均衡的算法選擇鏈路,負載均衡設備可以支持多種負載均衡的算法,包括輪詢、加權輪詢、最少用戶、最少流量等等。
進站流量的負載均衡
負載均衡設備能夠靈活有效地管理來自Internet的訪問,即流入(InBound)流量,使用戶總是沿著最佳鏈路訪問網站等服務,達到最佳的用戶響應。
針對采用域名方式實現訪問的應用,負載均衡與集成的DNS代理結合在一起,完成流入流量的負載均衡。針對采用地址實現訪問的應用,可以通過靜態NAT將服務的內部地址一對一地轉換為公網地址。
帶寬管理和流量整形
帶寬管理主要思想是能夠按照一系列標準區分用戶流量,然后為每種數據包或者會話指定不同的優先級來使用有限的帶寬。它允許網絡管理者完全而有效的控制他們可用的帶寬,使用這些功能可以按照一系列標準,指定應用程序的優先次序,同時還考慮了每個應用程序已使用的帶寬。在確定了會話的優先級后可以對帶寬限制進行配置,從而保證一些應用程序使用的帶寬沒有超過預先定義的帶寬限制。
Active-Standby設備冗余
企業采用多條鏈路解決了鏈路的單點故障,但采用單臺設備又產生了另外一個單點故障,即負載均衡設備單點故障,所以可以采用兩臺負載均衡設備來實現鏈路和設備的整體負載均衡。