冰川網絡出口鏈路負載均衡系統 內網智能DNS 系統---網絡出口解決方案2013/06 ,目 錄---網絡出口解決方案 ..........................

冰川網絡出口鏈路負載均衡系統

內網智能DNS 系統

---網絡出口解決方案

2013/06

目 錄

---網絡出口解決方案 ................................................................................................................... 1

1 概述 ......................................................................................................................................... 3

2 冰川網絡多鏈路負載均衡解決方案 . ..................................................................................... 5

2.1 鏈路優(yōu)選方案 .................................................................................................................. 6

2.2 鏈路健康檢測 .................................................................................................................. 7

2.3 流入（Inbound ）流量處理 ............................................................................................. 8

2.4 流出（OutBount) 流量處理 ............................................................................................. 8

2.5 冰川智能DNS 配合鏈路負載......................................................................................... 9

2.6 基于ASIC 芯片的NAT 及路由技術 . ........................................................................... 10

3 冰川獨特優(yōu)勢........................................................................................................................ 10

3.1 基于ASIC 轉發(fā)技術和傳統CPU 的靈活性完美結合 . ............................................... 10

3.2 基于協議的鏈路負載技術 ............................................................................................ 10

3.3 多點探測技術(Multi-Detection Technology) ................................................................ 11

3.4 人性化的配置界面 ........................................................................................................ 11

4 設備管理................................................................................................................................. 11

5 總結 ....................................................................................................................................... 13

1 概述

采用多條鏈路的網絡用戶常常會用到以下問題：

1. 出口鏈路流量不均衡。采用傳統策略路由的方法, 如果選選擇DNS 走聯通鏈路，則會導致聯通鏈路滿載。而其他鏈路相對較為空閑。聯通和電信以及移動網的鏈路都是100M 的情況下，這三條鏈路雖然帶寬充裕，但基于傳統路由方式的話，其帶寬卻無法高效的利用起來。

2. 出口鏈路無法實現鏈路負載冗余。當某條出口鏈路中斷時，會影響到訪問此區(qū)域的網站。

3. 傳統的鏈路解決方案是在防火墻或路由器上做策略路由，雖然在一定程度上能夠解決鏈路單點故障和選路問題，但是其配置復雜，維護困難的缺點卻暴露無疑，

通過路由協議，雖然可以實現部分鏈路負載的功能，但真正意義上的流量負載均衡還是做不到。路由協議不知道每一個鏈路當前的流量負載和活動會話。此時的任何負載均衡都是很不精確的，最多只能叫做“鏈路共享”。

對外訪問，有的鏈路會比另外的鏈路容易達到。雖然路由協議知道一些就近性和可達性，但是他們不可能結合諸如路由器的HOP 數和到目的網絡延時及鏈路的負載狀況等多變的因素，做出精確的路由選擇。

對內流量，也就是外網用戶訪問內網服務器的流量，通過路由協議會為其指定一條鏈路，但是有的鏈路可能會更適合為此用戶提供服務。

沒一種路由機制能結合DNS ，就近性，路由器負載，做出判斷哪一條鏈路可以對外部用戶來提供最優(yōu)的服務。傳統解決方案無法完全發(fā)揮多鏈路優(yōu)勢

下圖是一個多鏈路接入的典型拓撲，在圖中內部網絡到Internet 有2條接入鏈路，其中一條通過ISP1進行鏈接，而另一條則通過ISP2鏈接。

傳統多歸路方案：每個ISP 為內網分配一個不同的IP 地址網段。因而，對內網來說2個IP 網段同時生效。

存在問題：地址的靜態(tài)分配給尋址帶來了很大的復雜性。

除了復雜性之外，傳統的多鏈路網絡也具有一些人們尚未完全認識的不足： ● 網絡有多個鏈路與Internet 相接，即使用最復雜的協議，例如BGP4，

真正意義上的流量負載均衡還是做不到。路由協議不會知道每一個鏈路當前的流量負載和活動會話。此時的任何負載均衡都是很不精確的，最多只能叫做“鏈路共享”。

● 對外訪問，有的鏈路會比另外的鏈路容易達到。雖然路由協議知道一些

就近性和可達性，但是他們不可能結合諸如路由器的HOP 數和到目的網絡延時及鏈路的負載狀況等多變的因素，做出精確的路由選擇。

● 對內流量（比如， Internet用戶想訪問有多條鏈路接入的網上的一臺

服務器）。有的鏈路會比另外的鏈路更好地對外提供服務。沒一種路由機制能結合DNS ，就近性，路由器負載，做出判斷哪一條鏈路可以對外部用戶來提供最優(yōu)的服務。

傳統的多鏈路接入依靠復雜的設計，解決了一些接入鏈路存在單點故障的問題。 但是，它遠遠沒有把多鏈路接入的巨大優(yōu)勢發(fā)揮出來。

2 冰川網絡多鏈路負載均衡解決方案

典型的冰川網絡多鏈路負載均衡解決方案架構如下圖所示：

貴單位有兩條出口鏈路，一個聯通100M ，一個為電信100M ，我們可以在網絡的出口的位置放置冰川多鏈路負載均衡系統。這樣可以實現對多條Internet 接入鏈路的負載均衡，在內網服務器區(qū)域部署冰川嵌入式智能DNS 。

如果當一個出口線路出現故障，負載均衡器可以及時地檢測到，并將內外網流量轉到另一個出口鏈路上，網絡仍然可以正常運行。冰川多鏈路負載均衡系統可以支持多達十幾條的出口接鏈路。

冰川網絡鏈路負載均衡設備上含有外網DNS 解析模塊，可以同時實現

inbound 流量(Internet用戶訪問內部服務器) 的負載均衡。將內網服務器對外提供服務的地址按照不同的網絡運營商公網地址發(fā)布到公網后，在外網DNS 模塊上進行地址解析，以唯一的域名將多個WEB 站點發(fā)布到公網，DNS 在進行解析之前會產自判斷分支用戶的解析請求來自哪個ISP 運營商，然后針對不同的運營商對域名進行不同的IP 地址解析返回給用戶，使外網用戶能夠在本運營商的網絡環(huán)境中更加快速的訪問服務器。

此外，冰川多鏈路負載均衡系統具有防火墻模塊，可以抵御DoS/DDoS的功能及內網防護功能等有效地保護內網的服務器免遭攻擊。

針對各種用戶的典型需求，冰川網絡多鏈路負載均衡在以下幾個環(huán)節(jié)上提供了先進的功能和完善的解決方案：

● 最佳鏈路選擇；

● 基于“MDT ”技術的鏈路健康檢測；

● 外網智能DNS ，為外網訪問內網提供最佳鏈路；

● 智能地址翻譯；

● ASIC 加速模塊；

● 流量控制和管理（可選）；

冰川嵌入式智能DNS 可以為內網用戶訪問外網提供解析服務，將內網不同用戶的不同網絡資源訪問請求的DNS 解析轉發(fā)到指定的運營商線路，使用戶請求不同的網絡資源分配到不同的線路上，從域名解析層面上對網絡流量進行智能負載均衡，大提高了網絡出口線路的利用率?？蓪⑾螺d、視頻、P2P 等占用帶寬比較大的流量解析到電信線路上，將WEB 、IM 、網游等戰(zhàn)勝帶寬比較小但數實時性要求比較高的網絡應用流量解析到聯通等線路。

2.1 鏈路優(yōu)選方案

冰川網絡多鏈路負載均衡能夠同時實現雙向（Inbound 和Outbound ）流量在多條兩路上的負載均衡的。

● 鏈路健康狀況檢查：出口鏈路負載均衡設備采用"MDT(Multi-Detection

Technology) 方式判斷鏈路的健康狀況，可同時對多條ISP 的多個探測點進行鏈路檢測。

● Inbound 流量處理方面主要利用了DNS 和NAT 技術；

● Outbound 流量處理主要利用了NAT 技術。

● 鏈路的選擇時，基于TCP/UDP的"SESSION 流" 技術:即協議、源IP 、目的

IP 、源端口、目的端口五元素稱之為一個“SESSION ”，也就是一個連接數。出入流量均只針對新建的SESSION ，對于已經建立起連接的SESSION ，會保持原有的鏈路不改變。

如圖：

2.2 鏈路健康檢測

冰川網絡多鏈路負載均衡會通過多種方式檢測兩條鏈路的健康狀況，一旦發(fā)現其中一條鏈路故障，會立即將所有用戶流量定向至其它可用鏈路，從而實現Internet 連接的高可用性。主要的方法有：

● MDT 方式的健康檢查

為了確保ISP 鏈路的暢通，冰川網絡多鏈路負載均衡將采用Ping 的方法，可檢查多個目的地址是否暢通，從而來判斷ISP 鏈路是否暢通。還可以基于自定義源地址的辦法來進行檢測。

注：該方法要求ISP 的鏈路對ICMP 開放。

高級健康檢查

針對所有的網絡環(huán)境（包括禁止ICMP 的ISP ），冰川網絡多鏈路負載均衡提供了豐富的4～7層檢查方式，并可以通過多種檢查結果的“與”和“或”運算結果，最終準確判斷鏈路的健康狀況。例如：通過CNC 的路徑，同時檢查www.sohu.com 和www.sina.com 的80端口，并將檢查結果做“或”運算，只要一個檢查通過即可判斷CNC 鏈路正常。避免了某網站故障導致鏈路狀態(tài)誤判的可能性。

2.3 流入（Inbound ）流量處理

冰川網絡多鏈路負載均衡開啟外網智能DNS 模塊，配合將域名的解析功能導向到多鏈路負載均衡，由冰川網絡多鏈路負載均衡來進行路由。這樣當遠程通過域名訪問網站時，逐步通過遠程用戶的本地DNS 服務器、根DNS 服務器，最終由冰川智能DNS 系統來進行域名的解析。此時就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路，然后將域名解析成相應線路的IP 地址。

例如：當某個網通的遠程用戶訪問網站時，首先向他當地的DNS 服務器發(fā)起域名解析的請求，再通過他接入運營商的根DNS 服務器，最終總歸會向冰川智能DNS 系統請求DNS 解析，此時冰川智能DNS 系統就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路（網通），然后將域名解析成網通線路的IP 地址（218.x.x.1）。這樣遠程的網通用戶就會使用網通的目標IP 地址，通過網通的線路進行訪問，實現了訪問時鏈路方面的負載均衡優(yōu)化。

2.4 流出（OutBount) 流量處理

針對向外的流量，鏈路負載均衡設備會動態(tài)的根據各ISP 鏈路的繁忙及管理員定義的策略來進行路由和NAT 。如果一條鏈路發(fā)生故障，冰川多鏈路負載均衡系統能自動的將流量切換到別的正常的鏈路上，而不需要人工操作。在鏈路故障時，冰川多鏈路負載均衡系統能自動周期性的進行檢測，一旦檢測到這條鏈路恢復正常，將再次啟用此鏈路。

同時針對用戶訪問的目的地址，檢測各鏈路的反應速度，選擇反應最快的鏈路轉發(fā)流量。

2.5 冰川智能DNS 配合鏈路負載

單單靠鏈路負載，并不能充分有效的利用網絡出口鏈路，還需要智能DNS 服務器負載相結合實現出向流量鏈路負載均衡。我們知道ISP 地址精確匹配是提高用戶感受的最直接方式，它的問題是鏈路流量負載不均衡，而造成流量分配不均衡的原因則是由于客戶端的DNS 解析造成的。

原因之一是國內的大型數據中心和大型站點，采用多運營商鏈路方式接入互聯網，或在不同運營商建立獨立的數據中心。因此相同的域名，用戶使用不同運營商的DNS 服務器，解析出的IP 地址可能完全不同。當用戶使用聯通的DNS 時，在網絡上解析到地聯通地址會遠遠大于其他運營商的地址，這樣網通的出口鏈路利用率會不斷增加，而其他鏈路的利用率卻不高，如果單單靠鏈路負載均衡把去往聯通線路的流量切換到其他運營商的鏈路上，這樣會造成用戶訪問聯通的資源時網速慢。

例如在高校網絡中，學生某一時間段集中觀看體育賽事直播時，可能出現某條鏈路帶寬快速被占滿，使鏈路變得擁塞，而出現直播視頻傳輸不暢，而一些沒有觀看體育賽事，而需要瀏覽普通網頁等應用時，由于帶寬被嚴重戰(zhàn)勝，即使負載將流量切換到其他運營商線路上，由于運營商之間互聯互通的問題，用戶仍然感覺沒有使用主DNS 所在運營商的的線路流暢。

對此，冰川嵌入式智能DNS 可以將根據終端用戶訪問的不同內容，將不同網絡類型的解析發(fā)送到不同運營商的DNS 進行解析，然后將返回的結果給終端用戶，例如可以將視頻、下載等網絡類型的解析通過移動線路進行解析，將WEB 等普通應用的DNS 解析發(fā)送聯通、電信等運營商的線路上，這樣可以是不同類型

的流量解析到不同的線路上，能夠充分優(yōu)先保障用戶瀏覽WEB 等能夠獲得更快速的體驗。

2.6 基于ASIC 芯片的NAT 及路由技術

在冰川Glacier 5188及其他模塊話的產品上, 可選支持基于ASIC 芯片的多端口模塊(可選2光2電模塊，4光4電模塊,8光模塊等), 配合GFOS 操作系統，ASIC 模塊與硬件共享內存，能自行處理NAT 和路由。整個過程無需硬件處理器的參與。大大提升了產品的性能。能做到10G 流量64字節(jié)小包線速NAT 轉發(fā)。此技術目前其他鏈路負載均衡產品均無法達到此性能。

3 冰川獨特優(yōu)勢

3.1 基于ASIC 轉發(fā)技術和傳統CPU 的靈活性完美結合

傳統的鏈路負載均衡系統大部分基于通用處理器技術, 當作為出口鏈路負載并且做NAT 、流量特別大的時候，會導致CPU 利用率居高不下，甚至當機。冰川出口鏈路負載均衡采用了通用處理器 ASIC加速模塊的方式來解決這個問題。此種技術為當前最前瞻的技術：通用處理器負責SESSION 第一個報文的處理，包括匹配ACL 、路由、NAT 等。并且把該報文的處理結果在內存中進行記憶。對于后續(xù)的數據包。ASIC 加速模塊根據內存中的記憶，直接進行處理。不需要經過通用處理器。大大提升了產品的性能。

3.2 基于協議的鏈路負載技術

所有的用戶和運營商都不得不面臨一個相同問題：非關鍵業(yè)務流量占用的大量的可用帶寬，其中P2P 流量，如BT 下載，更是如此。不但造成了網絡擁塞，還可能影響到關鍵的業(yè)務和應用。

冰川網絡多鏈路負載均衡上可以集成基于策略和特征的帶寬管理功能，識別各種業(yè)務流量，特別是能夠識別多種P2P 流量?？梢园凑沼脩舻木唧w需求，分配帶寬資源和進行鏈路負載。在保證關鍵業(yè)務的同時，讓用戶充分享受Internet 網絡的豐富資源。通過帶寬管理以及實現各個鏈路的最大容量，可以避免帶寬消