互联网接入多链路解决方案
互联网接入多链路解决方案
随着网络办公、网络运营及网络服务对外发布等各项业务的不断增加,企业网络性能将面临严重的挑战。同时,国内各ISP运营商之间存在互通缓慢的问题,网络闪断、延时大给一些敏感类的应用程序带来访问问题,导致在用户访问这些应用程序时,出现访问时断时续的问题,有时还存在信息提交不完整现象,在影响工作效率的同时也间接对企业造成了巨大的经济损失。
企业不断增长的网络化应用在通讯效率和可用性等方面对网络链路提出了更高要求,解决网络系统可靠性、安全性以及网络高可用性成为确保业务管理和办公的关键性问题。
为保证网络的高效和稳定,企业一般都会采用多链路接入,但过去在多链路负载方面通常采用路由器或防火墙设备人工指定某些内部用户使用某一个ISP提供商,这种方式无法实现链路负载和链路故障自动切换,不能把多链路接入的巨大优势发挥出来。
因此,我们认为,需要在互联网接入处采用专业的链路负载设备,实现企业内部用户对外访问和外部用户对内访问的双向链路负载均衡,把对内对外的流量根据预先设定的策略均衡到不同的链路上,实时监控链路的健康状况,达到两条链路之间的相互备份功能。
链路负载均衡设备可以实现以下功能:
l 静态和动态的就近性判断,保证内网用户以及互联网用户永远都会选择最优、最佳质量的链路。
l 高级和智能的链路健康检测策略,针对每条链路进行健康检测,最终决定链路的可用性。
l 对两条链路进行动态负载均衡,在链路出现故障时实现智能快速的链路切换,保证用户的高可靠性接入。
l 在基于上述的智能链路优选的基础之上,必须能够定制特定的策略路由,能够基于源地址、目的地址以及应用来命中特定链路。
l 链路负载均衡设备还具有安全防范能力,可支持对P2P软件数据包的拦截或者带宽限制,例如:MSN,BITTORRENT,SKYPE,EDONKEY,KAZAA,EMULE等软件,以节省链路出口带宽。同时可支持应用安全的功能,可以实时过滤不少于1500种目前最流行的病毒,蠕虫,木马,后门等入侵攻击。
互联网多链路解决方案拓扑图如下:
互联网接入多链路解决方案技术优势:
就近性路由选择
为了优化网络流入和流出的流量,链路负载均衡设备为流量实施就近性运算,对流量进行就近性判断。这个“近”其实是“最佳”的概念,能够准确有效地选择最佳路径。就近性机制可分为静态和动态两种方式:
静态就近性:针对已知的用户范围和网络的就近性(例如联通用户应采用联通线路,电信用户使用电信线路),设备上可以设置静态就近性表,要求用户严格按照该表来选择线路;
动态就近性:考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。
链路健康检查
负载均衡设备能够提供健全和灵活的链路判断机制,可以灵活有效地判断Internet链路的健康状况,作为分配流量的前提。
当ICMP的数据包出于安全原因而被ISP禁止时,可以通过多个Internet站点的可达性,来共同判断一条链路的状况。例如,通过电信线路检查www.sina.com、www.sohu.com、以及www.google.com的TCP 80端口,并对检查结果做“或”运算。这样,只要其中一个站点可达,即可表明链路状态良好。该方法即避免了ICMP检查的局限性,也避免了单一站点检查带来的单点失误。
一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。因此,负载均衡设备可以做到从发起端到接收端进行全面而精确的健康检查,最多能够完成10跳路由的健康的检测,从而保证整条数据链路的通畅,提高服务质量。
分组策略
负载均衡设备能根据用户的特殊需要实现类似策略路由的方式,这里称为分组。分组的功能可以根据流量的目的地址、端口号、源地址等强制把流量定向到某一条链路,其它链路可以设置为备份状态。
出站流量的负载均衡
当内部网络用户访问企业外部的资源,负载均衡设备会根据预先设定的策略或就近性选择最佳链路,一旦链路选定,就会根据相应链路进行地址翻译并记录该用户选择的链路。当所有策略全部不匹配时,会根据负载均衡的算法选择链路,负载均衡设备可以支持多种负载均衡的算法,包括轮询、加权轮询、最少用户、最少流量等等。
进站流量的负载均衡
负载均衡设备能够灵活有效地管理来自Internet的访问,即流入(InBound)流量,使用户总是沿着最佳链路访问网站等服务,达到最佳的用户响应。
针对采用域名方式实现访问的应用,负载均衡与集成的DNS代理结合在一起,完成流入流量的负载均衡。针对采用地址实现访问的应用,可以通过静态NAT将服务的内部地址一对一地转换为公网地址。
带宽管理和流量整形
带宽管理主要思想是能够按照一系列标准区分用户流量,然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。它允许网络管理者完全而有效的控制他们可用的带宽,使用这些功能可以按照一系列标准,指定应用程序的优先次序,同时还考虑了每个应用程序已使用的带宽。在确定了会话的优先级后可以对带宽限制进行配置,从而保证一些应用程序使用的带宽没有超过预先定义的带宽限制。
Active-Standby设备冗余
企业采用多条链路解决了链路的单点故障,但采用单台设备又产生了另外一个单点故障,即负载均衡设备单点故障,所以可以采用两台负载均衡设备来实现链路和设备的整体负载均衡。