冰川網(wǎng)絡(luò)出口鏈路負(fù)載均衡系統(tǒng) 內(nèi)網(wǎng)智能DNS 系統(tǒng)---網(wǎng)絡(luò)出口解決方案2013/06 ,目 錄---網(wǎng)絡(luò)出口解決方案 ..........................

冰川網(wǎng)絡(luò)出口鏈路負(fù)載均衡系統(tǒng)

內(nèi)網(wǎng)智能DNS 系統(tǒng)

---網(wǎng)絡(luò)出口解決方案

2013/06

目 錄

---網(wǎng)絡(luò)出口解決方案 ................................................................................................................... 1

1 概述 ......................................................................................................................................... 3

2 冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡解決方案 . ..................................................................................... 5

2.1 鏈路優(yōu)選方案 .................................................................................................................. 6

2.2 鏈路健康檢測 .................................................................................................................. 7

2.3 流入（Inbound ）流量處理 ............................................................................................. 8

2.4 流出（OutBount) 流量處理 ............................................................................................. 8

2.5 冰川智能DNS 配合鏈路負(fù)載......................................................................................... 9

2.6 基于ASIC 芯片的NAT 及路由技術(shù) . ........................................................................... 10

3 冰川獨特優(yōu)勢........................................................................................................................ 10

3.1 基于ASIC 轉(zhuǎn)發(fā)技術(shù)和傳統(tǒng)CPU 的靈活性完美結(jié)合 . ............................................... 10

3.2 基于協(xié)議的鏈路負(fù)載技術(shù) ............................................................................................ 10

3.3 多點探測技術(shù)(Multi-Detection Technology) ................................................................ 11

3.4 人性化的配置界面 ........................................................................................................ 11

4 設(shè)備管理................................................................................................................................. 11

5 總結(jié) ....................................................................................................................................... 13

1 概述

采用多條鏈路的網(wǎng)絡(luò)用戶常常會用到以下問題：

1. 出口鏈路流量不均衡。采用傳統(tǒng)策略路由的方法, 如果選選擇DNS 走聯(lián)通鏈路，則會導(dǎo)致聯(lián)通鏈路滿載。而其他鏈路相對較為空閑。聯(lián)通和電信以及移動網(wǎng)的鏈路都是100M 的情況下，這三條鏈路雖然帶寬充裕，但基于傳統(tǒng)路由方式的話，其帶寬卻無法高效的利用起來。

2. 出口鏈路無法實現(xiàn)鏈路負(fù)載冗余。當(dāng)某條出口鏈路中斷時，會影響到訪問此區(qū)域的網(wǎng)站。

3. 傳統(tǒng)的鏈路解決方案是在防火墻或路由器上做策略路由，雖然在一定程度上能夠解決鏈路單點故障和選路問題，但是其配置復(fù)雜，維護(hù)困難的缺點卻暴露無疑，

通過路由協(xié)議，雖然可以實現(xiàn)部分鏈路負(fù)載的功能，但真正意義上的流量負(fù)載均衡還是做不到。路由協(xié)議不知道每一個鏈路當(dāng)前的流量負(fù)載和活動會話。此時的任何負(fù)載均衡都是很不精確的，最多只能叫做“鏈路共享”。

對外訪問，有的鏈路會比另外的鏈路容易達(dá)到。雖然路由協(xié)議知道一些就近性和可達(dá)性，但是他們不可能結(jié)合諸如路由器的HOP 數(shù)和到目的網(wǎng)絡(luò)延時及鏈路的負(fù)載狀況等多變的因素，做出精確的路由選擇。

對內(nèi)流量，也就是外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的流量，通過路由協(xié)議會為其指定一條鏈路，但是有的鏈路可能會更適合為此用戶提供服務(wù)。

沒一種路由機(jī)制能結(jié)合DNS ，就近性，路由器負(fù)載，做出判斷哪一條鏈路可以對外部用戶來提供最優(yōu)的服務(wù)。傳統(tǒng)解決方案無法完全發(fā)揮多鏈路優(yōu)勢

下圖是一個多鏈路接入的典型拓?fù)?，在圖中內(nèi)部網(wǎng)絡(luò)到Internet 有2條接入鏈路，其中一條通過ISP1進(jìn)行鏈接，而另一條則通過ISP2鏈接。

傳統(tǒng)多歸路方案：每個ISP 為內(nèi)網(wǎng)分配一個不同的IP 地址網(wǎng)段。因而，對內(nèi)網(wǎng)來說2個IP 網(wǎng)段同時生效。

存在問題：地址的靜態(tài)分配給尋址帶來了很大的復(fù)雜性。

除了復(fù)雜性之外，傳統(tǒng)的多鏈路網(wǎng)絡(luò)也具有一些人們尚未完全認(rèn)識的不足： ● 網(wǎng)絡(luò)有多個鏈路與Internet 相接，即使用最復(fù)雜的協(xié)議，例如BGP4，

真正意義上的流量負(fù)載均衡還是做不到。路由協(xié)議不會知道每一個鏈路當(dāng)前的流量負(fù)載和活動會話。此時的任何負(fù)載均衡都是很不精確的，最多只能叫做“鏈路共享”。

● 對外訪問，有的鏈路會比另外的鏈路容易達(dá)到。雖然路由協(xié)議知道一些

就近性和可達(dá)性，但是他們不可能結(jié)合諸如路由器的HOP 數(shù)和到目的網(wǎng)絡(luò)延時及鏈路的負(fù)載狀況等多變的因素，做出精確的路由選擇。

● 對內(nèi)流量（比如， Internet用戶想訪問有多條鏈路接入的網(wǎng)上的一臺

服務(wù)器）。有的鏈路會比另外的鏈路更好地對外提供服務(wù)。沒一種路由機(jī)制能結(jié)合DNS ，就近性，路由器負(fù)載，做出判斷哪一條鏈路可以對外部用戶來提供最優(yōu)的服務(wù)。

傳統(tǒng)的多鏈路接入依靠復(fù)雜的設(shè)計，解決了一些接入鏈路存在單點故障的問題。 但是，它遠(yuǎn)遠(yuǎn)沒有把多鏈路接入的巨大優(yōu)勢發(fā)揮出來。

2 冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡解決方案

典型的冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡解決方案架構(gòu)如下圖所示：

貴單位有兩條出口鏈路，一個聯(lián)通100M ，一個為電信100M ，我們可以在網(wǎng)絡(luò)的出口的位置放置冰川多鏈路負(fù)載均衡系統(tǒng)。這樣可以實現(xiàn)對多條Internet 接入鏈路的負(fù)載均衡，在內(nèi)網(wǎng)服務(wù)器區(qū)域部署冰川嵌入式智能DNS 。

如果當(dāng)一個出口線路出現(xiàn)故障，負(fù)載均衡器可以及時地檢測到，并將內(nèi)外網(wǎng)流量轉(zhuǎn)到另一個出口鏈路上，網(wǎng)絡(luò)仍然可以正常運(yùn)行。冰川多鏈路負(fù)載均衡系統(tǒng)可以支持多達(dá)十幾條的出口接鏈路。

冰川網(wǎng)絡(luò)鏈路負(fù)載均衡設(shè)備上含有外網(wǎng)DNS 解析模塊，可以同時實現(xiàn)

inbound 流量(Internet用戶訪問內(nèi)部服務(wù)器) 的負(fù)載均衡。將內(nèi)網(wǎng)服務(wù)器對外提供服務(wù)的地址按照不同的網(wǎng)絡(luò)運(yùn)營商公網(wǎng)地址發(fā)布到公網(wǎng)后，在外網(wǎng)DNS 模塊上進(jìn)行地址解析，以唯一的域名將多個WEB 站點發(fā)布到公網(wǎng)，DNS 在進(jìn)行解析之前會產(chǎn)自判斷分支用戶的解析請求來自哪個ISP 運(yùn)營商，然后針對不同的運(yùn)營商對域名進(jìn)行不同的IP 地址解析返回給用戶，使外網(wǎng)用戶能夠在本運(yùn)營商的網(wǎng)絡(luò)環(huán)境中更加快速的訪問服務(wù)器。

此外，冰川多鏈路負(fù)載均衡系統(tǒng)具有防火墻模塊，可以抵御DoS/DDoS的功能及內(nèi)網(wǎng)防護(hù)功能等有效地保護(hù)內(nèi)網(wǎng)的服務(wù)器免遭攻擊。

針對各種用戶的典型需求，冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡在以下幾個環(huán)節(jié)上提供了先進(jìn)的功能和完善的解決方案：

● 最佳鏈路選擇；

● 基于“MDT ”技術(shù)的鏈路健康檢測；

● 外網(wǎng)智能DNS ，為外網(wǎng)訪問內(nèi)網(wǎng)提供最佳鏈路；

● 智能地址翻譯；

● ASIC 加速模塊；

● 流量控制和管理（可選）；

冰川嵌入式智能DNS 可以為內(nèi)網(wǎng)用戶訪問外網(wǎng)提供解析服務(wù)，將內(nèi)網(wǎng)不同用戶的不同網(wǎng)絡(luò)資源訪問請求的DNS 解析轉(zhuǎn)發(fā)到指定的運(yùn)營商線路，使用戶請求不同的網(wǎng)絡(luò)資源分配到不同的線路上，從域名解析層面上對網(wǎng)絡(luò)流量進(jìn)行智能負(fù)載均衡，大提高了網(wǎng)絡(luò)出口線路的利用率。可將下載、視頻、P2P 等占用帶寬比較大的流量解析到電信線路上，將WEB 、IM 、網(wǎng)游等戰(zhàn)勝帶寬比較小但數(shù)實時性要求比較高的網(wǎng)絡(luò)應(yīng)用流量解析到聯(lián)通等線路。

2.1 鏈路優(yōu)選方案

冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡能夠同時實現(xiàn)雙向（Inbound 和Outbound ）流量在多條兩路上的負(fù)載均衡的。

● 鏈路健康狀況檢查：出口鏈路負(fù)載均衡設(shè)備采用"MDT(Multi-Detection

Technology) 方式判斷鏈路的健康狀況，可同時對多條ISP 的多個探測點進(jìn)行鏈路檢測。

● Inbound 流量處理方面主要利用了DNS 和NAT 技術(shù)；

● Outbound 流量處理主要利用了NAT 技術(shù)。

● 鏈路的選擇時，基于TCP/UDP的"SESSION 流" 技術(shù):即協(xié)議、源IP 、目的

IP 、源端口、目的端口五元素稱之為一個“SESSION ”，也就是一個連接數(shù)。出入流量均只針對新建的SESSION ，對于已經(jīng)建立起連接的SESSION ，會保持原有的鏈路不改變。

如圖：

2.2 鏈路健康檢測

冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡會通過多種方式檢測兩條鏈路的健康狀況，一旦發(fā)現(xiàn)其中一條鏈路故障，會立即將所有用戶流量定向至其它可用鏈路，從而實現(xiàn)Internet 連接的高可用性。主要的方法有：

● MDT 方式的健康檢查

為了確保ISP 鏈路的暢通，冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡將采用Ping 的方法，可檢查多個目的地址是否暢通，從而來判斷ISP 鏈路是否暢通。還可以基于自定義源地址的辦法來進(jìn)行檢測。

注：該方法要求ISP 的鏈路對ICMP 開放。

高級健康檢查

針對所有的網(wǎng)絡(luò)環(huán)境（包括禁止ICMP 的ISP ），冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡提供了豐富的4～7層檢查方式，并可以通過多種檢查結(jié)果的“與”和“或”運(yùn)算結(jié)果，最終準(zhǔn)確判斷鏈路的健康狀況。例如：通過CNC 的路徑，同時檢查www.sohu.com 和www.sina.com 的80端口，并將檢查結(jié)果做“或”運(yùn)算，只要一個檢查通過即可判斷CNC 鏈路正常。避免了某網(wǎng)站故障導(dǎo)致鏈路狀態(tài)誤判的可能性。

2.3 流入（Inbound ）流量處理

冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡開啟外網(wǎng)智能DNS 模塊，配合將域名的解析功能導(dǎo)向到多鏈路負(fù)載均衡，由冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡來進(jìn)行路由。這樣當(dāng)遠(yuǎn)程通過域名訪問網(wǎng)站時，逐步通過遠(yuǎn)程用戶的本地DNS 服務(wù)器、根DNS 服務(wù)器，最終由冰川智能DNS 系統(tǒng)來進(jìn)行域名的解析。此時就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路，然后將域名解析成相應(yīng)線路的IP 地址。

例如：當(dāng)某個網(wǎng)通的遠(yuǎn)程用戶訪問網(wǎng)站時，首先向他當(dāng)?shù)氐腄NS 服務(wù)器發(fā)起域名解析的請求，再通過他接入運(yùn)營商的根DNS 服務(wù)器，最終總歸會向冰川智能DNS 系統(tǒng)請求DNS 解析，此時冰川智能DNS 系統(tǒng)就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路（網(wǎng)通），然后將域名解析成網(wǎng)通線路的IP 地址（218.x.x.1）。這樣遠(yuǎn)程的網(wǎng)通用戶就會使用網(wǎng)通的目標(biāo)IP 地址，通過網(wǎng)通的線路進(jìn)行訪問，實現(xiàn)了訪問時鏈路方面的負(fù)載均衡優(yōu)化。

2.4 流出（OutBount) 流量處理

針對向外的流量，鏈路負(fù)載均衡設(shè)備會動態(tài)的根據(jù)各ISP 鏈路的繁忙及管理員定義的策略來進(jìn)行路由和NAT 。如果一條鏈路發(fā)生故障，冰川多鏈路負(fù)載均衡系統(tǒng)能自動的將流量切換到別的正常的鏈路上，而不需要人工操作。在鏈路故障時，冰川多鏈路負(fù)載均衡系統(tǒng)能自動周期性的進(jìn)行檢測，一旦檢測到這條鏈路恢復(fù)正常，將再次啟用此鏈路。

同時針對用戶訪問的目的地址，檢測各鏈路的反應(yīng)速度，選擇反應(yīng)最快的鏈路轉(zhuǎn)發(fā)流量。

2.5 冰川智能DNS 配合鏈路負(fù)載

單單靠鏈路負(fù)載，并不能充分有效的利用網(wǎng)絡(luò)出口鏈路，還需要智能DNS 服務(wù)器負(fù)載相結(jié)合實現(xiàn)出向流量鏈路負(fù)載均衡。我們知道ISP 地址精確匹配是提高用戶感受的最直接方式，它的問題是鏈路流量負(fù)載不均衡，而造成流量分配不均衡的原因則是由于客戶端的DNS 解析造成的。

原因之一是國內(nèi)的大型數(shù)據(jù)中心和大型站點，采用多運(yùn)營商鏈路方式接入互聯(lián)網(wǎng)，或在不同運(yùn)營商建立獨立的數(shù)據(jù)中心。因此相同的域名，用戶使用不同運(yùn)營商的DNS 服務(wù)器，解析出的IP 地址可能完全不同。當(dāng)用戶使用聯(lián)通的DNS 時，在網(wǎng)絡(luò)上解析到地聯(lián)通地址會遠(yuǎn)遠(yuǎn)大于其他運(yùn)營商的地址，這樣網(wǎng)通的出口鏈路利用率會不斷增加，而其他鏈路的利用率卻不高，如果單單靠鏈路負(fù)載均衡把去往聯(lián)通線路的流量切換到其他運(yùn)營商的鏈路上，這樣會造成用戶訪問聯(lián)通的資源時網(wǎng)速慢。

例如在高校網(wǎng)絡(luò)中，學(xué)生某一時間段集中觀看體育賽事直播時，可能出現(xiàn)某條鏈路帶寬快速被占滿，使鏈路變得擁塞，而出現(xiàn)直播視頻傳輸不暢，而一些沒有觀看體育賽事，而需要瀏覽普通網(wǎng)頁等應(yīng)用時，由于帶寬被嚴(yán)重戰(zhàn)勝，即使負(fù)載將流量切換到其他運(yùn)營商線路上，由于運(yùn)營商之間互聯(lián)互通的問題，用戶仍然感覺沒有使用主DNS 所在運(yùn)營商的的線路流暢。

對此，冰川嵌入式智能DNS 可以將根據(jù)終端用戶訪問的不同內(nèi)容，將不同網(wǎng)絡(luò)類型的解析發(fā)送到不同運(yùn)營商的DNS 進(jìn)行解析，然后將返回的結(jié)果給終端用戶，例如可以將視頻、下載等網(wǎng)絡(luò)類型的解析通過移動線路進(jìn)行解析，將WEB 等普通應(yīng)用的DNS 解析發(fā)送聯(lián)通、電信等運(yùn)營商的線路上，這樣可以是不同類型

的流量解析到不同的線路上，能夠充分優(yōu)先保障用戶瀏覽WEB 等能夠獲得更快速的體驗。

2.6 基于ASIC 芯片的NAT 及路由技術(shù)

在冰川Glacier 5188及其他模塊話的產(chǎn)品上, 可選支持基于ASIC 芯片的多端口模塊(可選2光2電模塊，4光4電模塊,8光模塊等), 配合GFOS 操作系統(tǒng)，ASIC 模塊與硬件共享內(nèi)存，能自行處理NAT 和路由。整個過程無需硬件處理器的參與。大大提升了產(chǎn)品的性能。能做到10G 流量64字節(jié)小包線速NAT 轉(zhuǎn)發(fā)。此技術(shù)目前其他鏈路負(fù)載均衡產(chǎn)品均無法達(dá)到此性能。

3 冰川獨特優(yōu)勢

3.1 基于ASIC 轉(zhuǎn)發(fā)技術(shù)和傳統(tǒng)CPU 的靈活性完美結(jié)合

傳統(tǒng)的鏈路負(fù)載均衡系統(tǒng)大部分基于通用處理器技術(shù), 當(dāng)作為出口鏈路負(fù)載并且做NAT 、流量特別大的時候，會導(dǎo)致CPU 利用率居高不下，甚至當(dāng)機(jī)。冰川出口鏈路負(fù)載均衡采用了通用處理器 ASIC加速模塊的方式來解決這個問題。此種技術(shù)為當(dāng)前最前瞻的技術(shù)：通用處理器負(fù)責(zé)SESSION 第一個報文的處理，包括匹配ACL 、路由、NAT 等。并且把該報文的處理結(jié)果在內(nèi)存中進(jìn)行記憶。對于后續(xù)的數(shù)據(jù)包。ASIC 加速模塊根據(jù)內(nèi)存中的記憶，直接進(jìn)行處理。不需要經(jīng)過通用處理器。大大提升了產(chǎn)品的性能。

3.2 基于協(xié)議的鏈路負(fù)載技術(shù)

所有的用戶和運(yùn)營商都不得不面臨一個相同問題：非關(guān)鍵業(yè)務(wù)流量占用的大量的可用帶寬，其中P2P 流量，如BT 下載，更是如此。不但造成了網(wǎng)絡(luò)擁塞，還可能影響到關(guān)鍵的業(yè)務(wù)和應(yīng)用。

冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡上可以集成基于策略和特征的帶寬管理功能，識別各種業(yè)務(wù)流量，特別是能夠識別多種P2P 流量。可以按照用戶的具體需求，分配帶寬資源和進(jìn)行鏈路負(fù)載。在保證關(guān)鍵業(yè)務(wù)的同時，讓用戶充分享受Internet 網(wǎng)絡(luò)的豐富資源。通過帶寬管理以及實現(xiàn)各個鏈路的最大容量，可以避免帶寬消