互聯(lián)網(wǎng)接入多鏈路解決方案

隨著網(wǎng)絡(luò)辦公、網(wǎng)絡(luò)運(yùn)營及網(wǎng)絡(luò)服務(wù)對外發(fā)布等各項(xiàng)業(yè)務(wù)的不斷增加，企業(yè)網(wǎng)絡(luò)性能將面臨嚴(yán)重的挑戰(zhàn)。同時，國內(nèi)各ISP運(yùn)營商之間存在互通緩慢的問題，網(wǎng)絡(luò)閃斷、延時大給一些敏感類的應(yīng)用程序帶來訪問問題，導(dǎo)致在用戶訪問這些應(yīng)用程序時，出現(xiàn)訪問時斷時續(xù)的問題，有時還存在信息提交不完整現(xiàn)象，在影響工作效率的同時也間接對企業(yè)造成了巨大的經(jīng)濟(jì)損失。

企業(yè)不斷增長的網(wǎng)絡(luò)化應(yīng)用在通訊效率和可用性等方面對網(wǎng)絡(luò)鏈路提出了更高要求，解決網(wǎng)絡(luò)系統(tǒng)可靠性、安全性以及網(wǎng)絡(luò)高可用性成為確保業(yè)務(wù)管理和辦公的關(guān)鍵性問題。

為保證網(wǎng)絡(luò)的高效和穩(wěn)定，企業(yè)一般都會采用多鏈路接入，但過去在多鏈路負(fù)載方面通常采用路由器或防火墻設(shè)備人工指定某些內(nèi)部用戶使用某一個ISP提供商，這種方式無法實(shí)現(xiàn)鏈路負(fù)載和鏈路故障自動切換，不能把多鏈路接入的巨大優(yōu)勢發(fā)揮出來。

    因此，我們認(rèn)為，需要在互聯(lián)網(wǎng)接入處采用專業(yè)的鏈路負(fù)載設(shè)備，實(shí)現(xiàn)企業(yè)內(nèi)部用戶對外訪問和外部用戶對內(nèi)訪問的雙向鏈路負(fù)載均衡，把對內(nèi)對外的流量根據(jù)預(yù)先設(shè)定的策略均衡到不同的鏈路上，實(shí)時監(jiān)控鏈路的健康狀況，達(dá)到兩條鏈路之間的相互備份功能。

鏈路負(fù)載均衡設(shè)備可以實(shí)現(xiàn)以下功能：

l  靜態(tài)和動態(tài)的就近性判斷，保證內(nèi)網(wǎng)用戶以及互聯(lián)網(wǎng)用戶永遠(yuǎn)都會選擇最優(yōu)、最佳質(zhì)量的鏈路。

l  高級和智能的鏈路健康檢測策略，針對每條鏈路進(jìn)行健康檢測，最終決定鏈路的可用性。

l  對兩條鏈路進(jìn)行動態(tài)負(fù)載均衡，在鏈路出現(xiàn)故障時實(shí)現(xiàn)智能快速的鏈路切換，保證用戶的高可靠性接入。

l  在基于上述的智能鏈路優(yōu)選的基礎(chǔ)之上，必須能夠定制特定的策略路由，能夠基于源地址、目的地址以及應(yīng)用來命中特定鏈路。

l  鏈路負(fù)載均衡設(shè)備還具有安全防范能力，可支持對P2P軟件數(shù)據(jù)包的攔截或者帶寬限制，例如：MSN，BITTORRENT，SKYPE，EDONKEY，KAZAA，EMULE等軟件，以節(jié)省鏈路出口帶寬。同時可支持應(yīng)用安全的功能，可以實(shí)時過濾不少于1500種目前最流行的病毒，蠕蟲，木馬，后門等入侵攻擊。 

互聯(lián)網(wǎng)多鏈路解決方案拓?fù)鋱D如下：

互聯(lián)網(wǎng)接入多鏈路解決方案技術(shù)優(yōu)勢：

就近性路由選擇

為了優(yōu)化網(wǎng)絡(luò)流入和流出的流量，鏈路負(fù)載均衡設(shè)備為流量實(shí)施就近性運(yùn)算，對流量進(jìn)行就近性判斷。這個“近”其實(shí)是“最佳”的概念，能夠準(zhǔn)確有效地選擇最佳路徑。就近性機(jī)制可分為靜態(tài)和動態(tài)兩種方式：

靜態(tài)就近性：針對已知的用戶范圍和網(wǎng)絡(luò)的就近性（例如聯(lián)通用戶應(yīng)采用聯(lián)通線路，電信用戶使用電信線路），設(shè)備上可以設(shè)置靜態(tài)就近性表，要求用戶嚴(yán)格按照該表來選擇線路；

動態(tài)就近性：考慮路由的跳數(shù)、路徑的延遲和負(fù)載狀況來進(jìn)行對每個訪問發(fā)起點(diǎn)的就近性運(yùn)算，選擇最佳的流入流量傳輸路徑，進(jìn)行最終的解析地址。

鏈路健康檢查

負(fù)載均衡設(shè)備能夠提供健全和靈活的鏈路判斷機(jī)制，可以靈活有效地判斷Internet鏈路的健康狀況，作為分配流量的前提。

當(dāng)ICMP的數(shù)據(jù)包出于安全原因而被ISP禁止時，可以通過多個Internet站點(diǎn)的可達(dá)性，來共同判斷一條鏈路的狀況。例如，通過電信線路檢查www.sina.com、www.sohu.com、以及www.google.com的TCP 80端口，并對檢查結(jié)果做“或”運(yùn)算。這樣，只要其中一個站點(diǎn)可達(dá)，即可表明鏈路狀態(tài)良好。該方法即避免了ICMP檢查的局限性，也避免了單一站點(diǎn)檢查帶來的單點(diǎn)失誤。

一條訪問鏈路的健康狀況不僅僅是由ISP的路由器的狀況決定的。因此，負(fù)載均衡設(shè)備可以做到從發(fā)起端到接收端進(jìn)行全面而精確的健康檢查，最多能夠完成10跳路由的健康的檢測，從而保證整條數(shù)據(jù)鏈路的通暢，提高服務(wù)質(zhì)量。

分組策略

負(fù)載均衡設(shè)備能根據(jù)用戶的特殊需要實(shí)現(xiàn)類似策略路由的方式，這里稱為分組。分組的功能可以根據(jù)流量的目的地址、端口號、源地址等強(qiáng)制把流量定向到某一條鏈路，其它鏈路可以設(shè)置為備份狀態(tài)。

出站流量的負(fù)載均衡

當(dāng)內(nèi)部網(wǎng)絡(luò)用戶訪問企業(yè)外部的資源，負(fù)載均衡設(shè)備會根據(jù)預(yù)先設(shè)定的策略或就近性選擇最佳鏈路，一旦鏈路選定，就會根據(jù)相應(yīng)鏈路進(jìn)行地址翻譯并記錄該用戶選擇的鏈路。當(dāng)所有策略全部不匹配時，會根據(jù)負(fù)載均衡的算法選擇鏈路，負(fù)載均衡設(shè)備可以支持多種負(fù)載均衡的算法，包括輪詢、加權(quán)輪詢、最少用戶、最少流量等等。

進(jìn)站流量的負(fù)載均衡

負(fù)載均衡設(shè)備能夠靈活有效地管理來自Internet的訪問，即流入（InBound）流量，使用戶總是沿著最佳鏈路訪問網(wǎng)站等服務(wù)，達(dá)到最佳的用戶響應(yīng)。

針對采用域名方式實(shí)現(xiàn)訪問的應(yīng)用，負(fù)載均衡與集成的DNS代理結(jié)合在一起，完成流入流量的負(fù)載均衡。針對采用地址實(shí)現(xiàn)訪問的應(yīng)用，可以通過靜態(tài)NAT將服務(wù)的內(nèi)部地址一對一地轉(zhuǎn)換為公網(wǎng)地址。

帶寬管理和流量整形

帶寬管理主要思想是能夠按照一系列標(biāo)準(zhǔn)區(qū)分用戶流量，然后為每種數(shù)據(jù)包或者會話指定不同的優(yōu)先級來使用有限的帶寬。它允許網(wǎng)絡(luò)管理者完全而有效的控制他們可用的帶寬，使用這些功能可以按照一系列標(biāo)準(zhǔn)，指定應(yīng)用程序的優(yōu)先次序，同時還考慮了每個應(yīng)用程序已使用的帶寬。在確定了會話的優(yōu)先級后可以對帶寬限制進(jìn)行配置，從而保證一些應(yīng)用程序使用的帶寬沒有超過預(yù)先定義的帶寬限制。

Active-Standby設(shè)備冗余

企業(yè)采用多條鏈路解決了鏈路的單點(diǎn)故障，但采用單臺設(shè)備又產(chǎn)生了另外一個單點(diǎn)故障，即負(fù)載均衡設(shè)備單點(diǎn)故障，所以可以采用兩臺負(fù)載均衡設(shè)備來實(shí)現(xiàn)鏈路和設(shè)備的整體負(fù)載均衡。