互聯(lián)網(wǎng)的發(fā)展使上網(wǎng)成為企業(yè)越來越重要的需求，企業(yè)上網(wǎng)已經(jīng)不僅僅是為了建一個網(wǎng)站對企業(yè)進行宣傳或滿足員工對互聯(lián)網(wǎng)的訪問。隨著應(yīng)用水平的提高，企業(yè)對互聯(lián)網(wǎng)的應(yīng)用早已擴大到電子商務(wù)、移動辦公人員的VPN撥入、系統(tǒng)的遠程維護等關(guān)系到企業(yè)日常運行的應(yīng)用。因此在網(wǎng)絡(luò)建設(shè)中不僅要考慮企業(yè)上網(wǎng)的安全性，其可靠性和可用性也是必須要考慮的部分。

在我們企業(yè)，原有的局域網(wǎng)采用一臺PIX525防火墻連接到外部網(wǎng)絡(luò)，通過防火墻上的四個以太網(wǎng)端口連接與企業(yè)網(wǎng)絡(luò)相關(guān)的四個不同安全等級的區(qū)域：Inside端口連接企業(yè)局域網(wǎng)，Outside端口連接互聯(lián)網(wǎng)，DMZ1端口連接企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)器集群區(qū)域，DMZ2端口連接行業(yè)網(wǎng)。從可靠性上看，網(wǎng)絡(luò)結(jié)構(gòu)存在單點故障。作為網(wǎng)絡(luò)出口的核心設(shè)備，一臺防火墻承載著所有應(yīng)用，不僅負載較大而且沒有冗余，一旦出現(xiàn)故障將影響到所有應(yīng)用。采用一條互聯(lián)網(wǎng)接入鏈路也存在著單點故障，ISP網(wǎng)絡(luò)的連接失效以及互聯(lián)網(wǎng)接入運營商調(diào)整線路、維護等問題都會影響到企業(yè)互聯(lián)網(wǎng)應(yīng)用的正常運行。從可用性上看，10M的互聯(lián)網(wǎng)帶寬已無法滿足企業(yè)日益增長的應(yīng)用需求，而且使用一個ISP的網(wǎng)絡(luò)會由于各大ISP網(wǎng)間的互聯(lián)互通問題造成在不同ISP網(wǎng)絡(luò)之間的應(yīng)用緩慢或不穩(wěn)定。針對以上問題，我們選擇了負載均衡技術(shù)改造網(wǎng)絡(luò)出口，保障企業(yè)上網(wǎng)應(yīng)用的需求。

需求分析

針對目前存在的問題，并充分考慮企業(yè)的實際應(yīng)用需求，網(wǎng)絡(luò)出口的負載均衡方案要求實現(xiàn)如下目標：

1.關(guān)鍵設(shè)備及鏈路的負載均衡和故障冗余，并要求網(wǎng)絡(luò)具有靈活的擴展空間，將來能根據(jù)實際應(yīng)用需求的增長在充分利用現(xiàn)有網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓撲的情況下對網(wǎng)絡(luò)出口進行擴展。

2.互聯(lián)網(wǎng)接入的負載均衡和故障冗余，選用兩條不同ISP鏈路，為企業(yè)提供服務(wù)。兩條鏈路之間要求建立起一定的流量管理機制，能夠合理有效地分配兩條鏈路的資源，并在某鏈路發(fā)生故障時自動將其流量切換到另外的鏈路，自動實現(xiàn)透明容錯。當鏈路恢復(fù)時自動將其加入到負載均衡組中，實現(xiàn)VPN撥入的容錯功能。

3.智能管理不同ISP提供的網(wǎng)絡(luò)服務(wù)，優(yōu)化所有的ISP鏈路。對外訪問要求到ISP1的數(shù)據(jù)由ISP1鏈路出，返回的數(shù)據(jù)依然由ISP1的鏈路回;同樣到ISP2的數(shù)據(jù)也一樣。對內(nèi)訪問要求服務(wù)器的內(nèi)網(wǎng)地址能同時映射兩個ISP的公網(wǎng)地址，統(tǒng)一域名，遠程訪問通過動態(tài)的DNS來找出目前最合適的ISP連接訪問服務(wù)器。

技術(shù)分解

根據(jù)需求分析，我們采用了防火墻集群和多鏈路負載均衡兩個技術(shù)方案來實現(xiàn)企業(yè)上網(wǎng)的負載均衡。

我們使用兩臺SG-1000防火墻設(shè)置成集群，在防火墻上實現(xiàn)負載均衡和故障冗余。集群節(jié)點負載的分配主要根據(jù)防火墻CPU的利用率來決定，利用防火墻集群的多鏈路技術(shù)實現(xiàn)了互聯(lián)網(wǎng)鏈路的負載均衡和故障冗余(如圖1) 。互聯(lián)網(wǎng)接入采用移動(ISP1)和電信(ISP2)兩條當?shù)刂饕ヂ?lián)網(wǎng)運營商的10M鏈路，每個ISP都分配給企業(yè)網(wǎng)絡(luò)一個IP地址段。多鏈路技術(shù)提供了高可靠性的ISP連接，解決了ISP單點失效及Internet服務(wù)不可靠和反應(yīng)緩慢等問題.，并同時在流出流量和流入流量間實現(xiàn)兩條ISP鏈路的負載均衡和故障冗余。在正常情況下兩條鏈路上的流量是均衡的，并根據(jù)訪問的IP地址自動選擇最優(yōu)路徑。

對于在防火墻集群DMZ區(qū)的對外服務(wù)器，每一臺服務(wù)器定義了一個服務(wù)器地址池，一個內(nèi)網(wǎng)IP映射兩個公網(wǎng)的IP，兩個IP地址統(tǒng)一域名。防火墻集群定時檢測鏈路，進行DDNS更新。遠程訪問將通過動態(tài)的DNS來找出目前最合適的ISP連接，將數(shù)據(jù)包發(fā)到服務(wù)器相應(yīng)的IP地址上。

移動用戶VPN的撥入默認通過ISP1線路進入認證服務(wù)器，當ISP1的線路出現(xiàn)問題的時候，VPN客戶端自動通過ISP2線路撥入，在雙鏈路之間實現(xiàn)了VPN接入的容錯。

在網(wǎng)絡(luò)邊界，我們配置了兩臺相同配置型號的PIX防火墻(PIX-A和PIX-B)加強安全防護。為了均衡PIX防火墻的負載，提高網(wǎng)絡(luò)性能，我們改變傳統(tǒng)的兩臺設(shè)備之間一主一備的工作模式，實現(xiàn)防火墻之間的Active/Active冗余工作模式。每一臺物理防火墻都虛擬出兩個邏輯防火墻Fw-a和Fw-b，F(xiàn)w-a連接ISP1網(wǎng)絡(luò)，F(xiàn)w-b連接ISP2網(wǎng)絡(luò)。PIX-A的Fw-a與PIX-B的Fw-a形成Active/Standby模式，PIX-B的Fw-b與PIX-A的Fw-b形成Active/Standby模式。

把PIX525的IOS升級到7.21以及升級ASDM到5.21，把防火墻設(shè)成多容器狀態(tài)，啟用Failover功能。為了Active/Active模式建立兩個Failover Group，然后定義虛擬防火墻Fw-a和Fw-b。

以下是引用片段：

wr erase start-config 

mode multiple

Failover

failover link link Ethernet0

failover interface ip link 10.0.4.1 255.255.255.0 standby 10.0.4.11

failover group 1

primary

failover group 2

secondary

context Fw-a

join-failover-group 1

context Fw-b

join-failover-group 2

應(yīng)用效果

負載均衡在網(wǎng)絡(luò)出口應(yīng)用之后，提高了企業(yè)連接互聯(lián)網(wǎng)的帶寬，實現(xiàn)了設(shè)備和鏈路的冗余，并對網(wǎng)絡(luò)的流量進行了智能化的管理，從而有效地保障了企業(yè)上網(wǎng)的可靠性和可用性。為檢驗效果，我們以局域網(wǎng)訪問互聯(lián)網(wǎng)為例進行測試，以ISP1本地網(wǎng)站movie.mccly.com和ISP2本地網(wǎng)站為目標進行Tracert測試。圖2為兩條ISP鏈路同時連接，負載均衡啟用的測試結(jié)果顯示：到達兩個網(wǎng)站的路徑都是5hops，延遲小于10ms。圖3為斷開ISP2鏈路，單獨連接ISP1網(wǎng)絡(luò)的測試結(jié)果：到達ISP1網(wǎng)站的路徑和延遲不變，但到達ISP2的路徑增加到14hops，延遲為13ms。由兩個結(jié)果對比可看出，負載均衡為每一個數(shù)據(jù)包選擇了一條最優(yōu)的路由路徑，訪問速度得到了優(yōu)化，提高了網(wǎng)絡(luò)出口的可用性?！　?/P>

圖1 改造后的網(wǎng)絡(luò)拓撲圖　　

圖2 斷開ISP2鏈路，單獨連接ISP1網(wǎng)絡(luò)的測試結(jié)果　

圖3 兩條ISP鏈路同時連接，負載均衡啟用的測試結(jié)果

【編輯推薦】

1. 不同網(wǎng)絡(luò)層面上的網(wǎng)絡(luò)負載均衡技術(shù)
2. VRRP技術(shù)實現(xiàn)網(wǎng)絡(luò)的路由冗余和負載均衡