互聯(lián)網(wǎng)接入多鏈路解決方案

隨著網(wǎng)絡辦公、網(wǎng)絡運營及網(wǎng)絡服務對外發(fā)布等各項業(yè)務的不斷增加，企業(yè)網(wǎng)絡性能將面臨嚴重的挑戰(zhàn)。同時，國內各ISP運營商之間存在互通緩慢的問題，網(wǎng)絡閃斷、延時大給一些敏感類的應用程序帶來訪問問題，導致在用戶訪問這些應用程序時，出現(xiàn)訪問時斷時續(xù)的問題，有時還存在信息提交不完整現(xiàn)象，在影響工作效率的同時也間接對企業(yè)造成了巨大的經(jīng)濟損失。

企業(yè)不斷增長的網(wǎng)絡化應用在通訊效率和可用性等方面對網(wǎng)絡鏈路提出了更高要求，解決網(wǎng)絡系統(tǒng)可靠性、安全性以及網(wǎng)絡高可用性成為確保業(yè)務管理和辦公的關鍵性問題。

為保證網(wǎng)絡的高效和穩(wěn)定，企業(yè)一般都會采用多鏈路接入，但過去在多鏈路負載方面通常采用路由器或防火墻設備人工指定某些內部用戶使用某一個ISP提供商，這種方式無法實現(xiàn)鏈路負載和鏈路故障自動切換，不能把多鏈路接入的巨大優(yōu)勢發(fā)揮出來。

    因此，我們認為，需要在互聯(lián)網(wǎng)接入處采用專業(yè)的鏈路負載設備，實現(xiàn)企業(yè)內部用戶對外訪問和外部用戶對內訪問的雙向鏈路負載均衡，把對內對外的流量根據(jù)預先設定的策略均衡到不同的鏈路上，實時監(jiān)控鏈路的健康狀況，達到兩條鏈路之間的相互備份功能。

鏈路負載均衡設備可以實現(xiàn)以下功能：

l  靜態(tài)和動態(tài)的就近性判斷，保證內網(wǎng)用戶以及互聯(lián)網(wǎng)用戶永遠都會選擇最優(yōu)、最佳質量的鏈路。

l  高級和智能的鏈路健康檢測策略，針對每條鏈路進行健康檢測，最終決定鏈路的可用性。

l  對兩條鏈路進行動態(tài)負載均衡，在鏈路出現(xiàn)故障時實現(xiàn)智能快速的鏈路切換，保證用戶的高可靠性接入。

l  在基于上述的智能鏈路優(yōu)選的基礎之上，必須能夠定制特定的策略路由，能夠基于源地址、目的地址以及應用來命中特定鏈路。

l  鏈路負載均衡設備還具有安全防范能力，可支持對P2P軟件數(shù)據(jù)包的攔截或者帶寬限制，例如：MSN，BITTORRENT，SKYPE，EDONKEY，KAZAA，EMULE等軟件，以節(jié)省鏈路出口帶寬。同時可支持應用安全的功能，可以實時過濾不少于1500種目前最流行的病毒，蠕蟲，木馬，后門等入侵攻擊。 

互聯(lián)網(wǎng)多鏈路解決方案拓撲圖如下：

互聯(lián)網(wǎng)接入多鏈路解決方案技術優(yōu)勢：

就近性路由選擇

為了優(yōu)化網(wǎng)絡流入和流出的流量，鏈路負載均衡設備為流量實施就近性運算，對流量進行就近性判斷。這個“近”其實是“最佳”的概念，能夠準確有效地選擇最佳路徑。就近性機制可分為靜態(tài)和動態(tài)兩種方式：

靜態(tài)就近性：針對已知的用戶范圍和網(wǎng)絡的就近性（例如聯(lián)通用戶應采用聯(lián)通線路，電信用戶使用電信線路），設備上可以設置靜態(tài)就近性表，要求用戶嚴格按照該表來選擇線路；

動態(tài)就近性：考慮路由的跳數(shù)、路徑的延遲和負載狀況來進行對每個訪問發(fā)起點的就近性運算，選擇最佳的流入流量傳輸路徑，進行最終的解析地址。

鏈路健康檢查

負載均衡設備能夠提供健全和靈活的鏈路判斷機制，可以靈活有效地判斷Internet鏈路的健康狀況，作為分配流量的前提。

當ICMP的數(shù)據(jù)包出于安全原因而被ISP禁止時，可以通過多個Internet站點的可達性，來共同判斷一條鏈路的狀況。例如，通過電信線路檢查www.sina.com、www.sohu.com、以及www.google.com的TCP 80端口，并對檢查結果做“或”運算。這樣，只要其中一個站點可達，即可表明鏈路狀態(tài)良好。該方法即避免了ICMP檢查的局限性，也避免了單一站點檢查帶來的單點失誤。

一條訪問鏈路的健康狀況不僅僅是由ISP的路由器的狀況決定的。因此，負載均衡設備可以做到從發(fā)起端到接收端進行全面而精確的健康檢查，最多能夠完成10跳路由的健康的檢測，從而保證整條數(shù)據(jù)鏈路的通暢，提高服務質量。

分組策略

負載均衡設備能根據(jù)用戶的特殊需要實現(xiàn)類似策略路由的方式，這里稱為分組。分組的功能可以根據(jù)流量的目的地址、端口號、源地址等強制把流量定向到某一條鏈路，其它鏈路可以設置為備份狀態(tài)。

出站流量的負載均衡

當內部網(wǎng)絡用戶訪問企業(yè)外部的資源，負載均衡設備會根據(jù)預先設定的策略或就近性選擇最佳鏈路，一旦鏈路選定，就會根據(jù)相應鏈路進行地址翻譯并記錄該用戶選擇的鏈路。當所有策略全部不匹配時，會根據(jù)負載均衡的算法選擇鏈路，負載均衡設備可以支持多種負載均衡的算法，包括輪詢、加權輪詢、最少用戶、最少流量等等。

進站流量的負載均衡

負載均衡設備能夠靈活有效地管理來自Internet的訪問，即流入（InBound）流量，使用戶總是沿著最佳鏈路訪問網(wǎng)站等服務，達到最佳的用戶響應。

針對采用域名方式實現(xiàn)訪問的應用，負載均衡與集成的DNS代理結合在一起，完成流入流量的負載均衡。針對采用地址實現(xiàn)訪問的應用，可以通過靜態(tài)NAT將服務的內部地址一對一地轉換為公網(wǎng)地址。

帶寬管理和流量整形

帶寬管理主要思想是能夠按照一系列標準區(qū)分用戶流量，然后為每種數(shù)據(jù)包或者會話指定不同的優(yōu)先級來使用有限的帶寬。它允許網(wǎng)絡管理者完全而有效的控制他們可用的帶寬，使用這些功能可以按照一系列標準，指定應用程序的優(yōu)先次序，同時還考慮了每個應用程序已使用的帶寬。在確定了會話的優(yōu)先級后可以對帶寬限制進行配置，從而保證一些應用程序使用的帶寬沒有超過預先定義的帶寬限制。

Active-Standby設備冗余

企業(yè)采用多條鏈路解決了鏈路的單點故障，但采用單臺設備又產生了另外一個單點故障，即負載均衡設備單點故障，所以可以采用兩臺負載均衡設備來實現(xiàn)鏈路和設備的整體負載均衡。