互聯(lián)網(wǎng)的發(fā)展使上網(wǎng)成為企業(yè)越來(lái)越重要的需求，企業(yè)上網(wǎng)已經(jīng)不僅僅是為了建一個(gè)網(wǎng)站對(duì)企業(yè)進(jìn)行宣傳或滿足員工對(duì)互聯(lián)網(wǎng)的訪問(wèn)。隨著應(yīng)用水平的提高，企業(yè)對(duì)互聯(lián)網(wǎng)的應(yīng)用早已擴(kuò)大到電子商務(wù)、移動(dòng)辦公人員的VPN撥入、系統(tǒng)的遠(yuǎn)程維護(hù)等關(guān)系到企業(yè)日常運(yùn)行的應(yīng)用。因此在網(wǎng)絡(luò)建設(shè)中不僅要考慮企業(yè)上網(wǎng)的安全性，其可靠性和可用性也是必須要考慮的部分。

在我們企業(yè)，原有的局域網(wǎng)采用一臺(tái)PIX525防火墻連接到外部網(wǎng)絡(luò)，通過(guò)防火墻上的四個(gè)以太網(wǎng)端口連接與企業(yè)網(wǎng)絡(luò)相關(guān)的四個(gè)不同安全等級(jí)的區(qū)域：Inside端口連接企業(yè)局域網(wǎng)，Outside端口連接互聯(lián)網(wǎng)，DMZ1端口連接企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)器集群區(qū)域，DMZ2端口連接行業(yè)網(wǎng)。從可靠性上看，網(wǎng)絡(luò)結(jié)構(gòu)存在單點(diǎn)故障。作為網(wǎng)絡(luò)出口的核心設(shè)備，一臺(tái)防火墻承載著所有應(yīng)用，不僅負(fù)載較大而且沒有冗余，一旦出現(xiàn)故障將影響到所有應(yīng)用。采用一條互聯(lián)網(wǎng)接入鏈路也存在著單點(diǎn)故障，ISP網(wǎng)絡(luò)的連接失效以及互聯(lián)網(wǎng)接入運(yùn)營(yíng)商調(diào)整線路、維護(hù)等問(wèn)題都會(huì)影響到企業(yè)互聯(lián)網(wǎng)應(yīng)用的正常運(yùn)行。從可用性上看，10M的互聯(lián)網(wǎng)帶寬已無(wú)法滿足企業(yè)日益增長(zhǎng)的應(yīng)用需求，而且使用一個(gè)ISP的網(wǎng)絡(luò)會(huì)由于各大ISP網(wǎng)間的互聯(lián)互通問(wèn)題造成在不同ISP網(wǎng)絡(luò)之間的應(yīng)用緩慢或不穩(wěn)定。針對(duì)以上問(wèn)題，我們選擇了負(fù)載均衡技術(shù)改造網(wǎng)絡(luò)出口，保障企業(yè)上網(wǎng)應(yīng)用的需求。

需求分析

針對(duì)目前存在的問(wèn)題，并充分考慮企業(yè)的實(shí)際應(yīng)用需求，網(wǎng)絡(luò)出口的負(fù)載均衡方案要求實(shí)現(xiàn)如下目標(biāo)：

1.關(guān)鍵設(shè)備及鏈路的負(fù)載均衡和故障冗余，并要求網(wǎng)絡(luò)具有靈活的擴(kuò)展空間，將來(lái)能根據(jù)實(shí)際應(yīng)用需求的增長(zhǎng)在充分利用現(xiàn)有網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓?fù)涞那闆r下對(duì)網(wǎng)絡(luò)出口進(jìn)行擴(kuò)展。

2.互聯(lián)網(wǎng)接入的負(fù)載均衡和故障冗余，選用兩條不同ISP鏈路，為企業(yè)提供服務(wù)。兩條鏈路之間要求建立起一定的流量管理機(jī)制，能夠合理有效地分配兩條鏈路的資源，并在某鏈路發(fā)生故障時(shí)自動(dòng)將其流量切換到另外的鏈路，自動(dòng)實(shí)現(xiàn)透明容錯(cuò)。當(dāng)鏈路恢復(fù)時(shí)自動(dòng)將其加入到負(fù)載均衡組中，實(shí)現(xiàn)VPN撥入的容錯(cuò)功能。

3.智能管理不同ISP提供的網(wǎng)絡(luò)服務(wù)，優(yōu)化所有的ISP鏈路。對(duì)外訪問(wèn)要求到ISP1的數(shù)據(jù)由ISP1鏈路出，返回的數(shù)據(jù)依然由ISP1的鏈路回;同樣到ISP2的數(shù)據(jù)也一樣。對(duì)內(nèi)訪問(wèn)要求服務(wù)器的內(nèi)網(wǎng)地址能同時(shí)映射兩個(gè)ISP的公網(wǎng)地址，統(tǒng)一域名，遠(yuǎn)程訪問(wèn)通過(guò)動(dòng)態(tài)的DNS來(lái)找出目前最合適的ISP連接訪問(wèn)服務(wù)器。

技術(shù)分解

根據(jù)需求分析，我們采用了防火墻集群和多鏈路負(fù)載均衡兩個(gè)技術(shù)方案來(lái)實(shí)現(xiàn)企業(yè)上網(wǎng)的負(fù)載均衡。

我們使用兩臺(tái)SG-1000防火墻設(shè)置成集群，在防火墻上實(shí)現(xiàn)負(fù)載均衡和故障冗余。集群節(jié)點(diǎn)負(fù)載的分配主要根據(jù)防火墻CPU的利用率來(lái)決定，利用防火墻集群的多鏈路技術(shù)實(shí)現(xiàn)了互聯(lián)網(wǎng)鏈路的負(fù)載均衡和故障冗余(如圖1) ?；ヂ?lián)網(wǎng)接入采用移動(dòng)(ISP1)和電信(ISP2)兩條當(dāng)?shù)刂饕ヂ?lián)網(wǎng)運(yùn)營(yíng)商的10M鏈路，每個(gè)ISP都分配給企業(yè)網(wǎng)絡(luò)一個(gè)IP地址段。多鏈路技術(shù)提供了高可靠性的ISP連接，解決了ISP單點(diǎn)失效及Internet服務(wù)不可靠和反應(yīng)緩慢等問(wèn)題.，并同時(shí)在流出流量和流入流量間實(shí)現(xiàn)兩條ISP鏈路的負(fù)載均衡和故障冗余。在正常情況下兩條鏈路上的流量是均衡的，并根據(jù)訪問(wèn)的IP地址自動(dòng)選擇最優(yōu)路徑。

對(duì)于在防火墻集群DMZ區(qū)的對(duì)外服務(wù)器，每一臺(tái)服務(wù)器定義了一個(gè)服務(wù)器地址池，一個(gè)內(nèi)網(wǎng)IP映射兩個(gè)公網(wǎng)的IP，兩個(gè)IP地址統(tǒng)一域名。防火墻集群定時(shí)檢測(cè)鏈路，進(jìn)行DDNS更新。遠(yuǎn)程訪問(wèn)將通過(guò)動(dòng)態(tài)的DNS來(lái)找出目前最合適的ISP連接，將數(shù)據(jù)包發(fā)到服務(wù)器相應(yīng)的IP地址上。

移動(dòng)用戶VPN的撥入默認(rèn)通過(guò)ISP1線路進(jìn)入認(rèn)證服務(wù)器，當(dāng)ISP1的線路出現(xiàn)問(wèn)題的時(shí)候，VPN客戶端自動(dòng)通過(guò)ISP2線路撥入，在雙鏈路之間實(shí)現(xiàn)了VPN接入的容錯(cuò)。

在網(wǎng)絡(luò)邊界，我們配置了兩臺(tái)相同配置型號(hào)的PIX防火墻(PIX-A和PIX-B)加強(qiáng)安全防護(hù)。為了均衡PIX防火墻的負(fù)載，提高網(wǎng)絡(luò)性能，我們改變傳統(tǒng)的兩臺(tái)設(shè)備之間一主一備的工作模式，實(shí)現(xiàn)防火墻之間的Active/Active冗余工作模式。每一臺(tái)物理防火墻都虛擬出兩個(gè)邏輯防火墻Fw-a和Fw-b，F(xiàn)w-a連接ISP1網(wǎng)絡(luò)，F(xiàn)w-b連接ISP2網(wǎng)絡(luò)。PIX-A的Fw-a與PIX-B的Fw-a形成Active/Standby模式，PIX-B的Fw-b與PIX-A的Fw-b形成Active/Standby模式。

把PIX525的IOS升級(jí)到7.21以及升級(jí)ASDM到5.21，把防火墻設(shè)成多容器狀態(tài)，啟用Failover功能。為了Active/Active模式建立兩個(gè)Failover Group，然后定義虛擬防火墻Fw-a和Fw-b。

以下是引用片段：

wr erase start-config 

mode multiple

Failover

failover link link Ethernet0

failover interface ip link 10.0.4.1 255.255.255.0 standby 10.0.4.11

failover group 1

primary

failover group 2

secondary

context Fw-a

join-failover-group 1

context Fw-b

join-failover-group 2

應(yīng)用效果

負(fù)載均衡在網(wǎng)絡(luò)出口應(yīng)用之后，提高了企業(yè)連接互聯(lián)網(wǎng)的帶寬，實(shí)現(xiàn)了設(shè)備和鏈路的冗余，并對(duì)網(wǎng)絡(luò)的流量進(jìn)行了智能化的管理，從而有效地保障了企業(yè)上網(wǎng)的可靠性和可用性。為檢驗(yàn)效果，我們以局域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)為例進(jìn)行測(cè)試，以ISP1本地網(wǎng)站movie.mccly.com和ISP2本地網(wǎng)站為目標(biāo)進(jìn)行Tracert測(cè)試。圖2為兩條ISP鏈路同時(shí)連接，負(fù)載均衡啟用的測(cè)試結(jié)果顯示：到達(dá)兩個(gè)網(wǎng)站的路徑都是5hops，延遲小于10ms。圖3為斷開ISP2鏈路，單獨(dú)連接ISP1網(wǎng)絡(luò)的測(cè)試結(jié)果：到達(dá)ISP1網(wǎng)站的路徑和延遲不變，但到達(dá)ISP2的路徑增加到14hops，延遲為13ms。由兩個(gè)結(jié)果對(duì)比可看出，負(fù)載均衡為每一個(gè)數(shù)據(jù)包選擇了一條最優(yōu)的路由路徑，訪問(wèn)速度得到了優(yōu)化，提高了網(wǎng)絡(luò)出口的可用性?！　?/P>

圖1 改造后的網(wǎng)絡(luò)拓?fù)鋱D　　

圖2 斷開ISP2鏈路，單獨(dú)連接ISP1網(wǎng)絡(luò)的測(cè)試結(jié)果　

圖3 兩條ISP鏈路同時(shí)連接，負(fù)載均衡啟用的測(cè)試結(jié)果

【編輯推薦】

1. 不同網(wǎng)絡(luò)層面上的網(wǎng)絡(luò)負(fù)載均衡技術(shù)
2. VRRP技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的路由冗余和負(fù)載均衡