多鏈路負(fù)載均衡解決方案

1.背景

　　 在企業(yè)信息化發(fā)展過程中，企業(yè)網(wǎng)絡(luò)對(duì)出口帶寬的需求日益增加，為此很多企業(yè)都同時(shí)租用多個(gè)運(yùn)行商鏈路，或者一個(gè)運(yùn)營(yíng)商的多條鏈路。通過多鏈路接入可以增加帶寬，同時(shí)起到分流作用；多鏈路接入還可以起到鏈路備份功能，如果其中的一條線路斷開，則自動(dòng)使用另外一條線路；所以，在企業(yè)網(wǎng)絡(luò)出口以多鏈路方式接入變得越來(lái)越普遍，如何更高效的利用多鏈路帶寬資源成為一個(gè)新的挑戰(zhàn)。

2.典型用戶問題

　　 隨著業(yè)務(wù)規(guī)模的發(fā)展，初建網(wǎng)絡(luò)時(shí)的一個(gè)出口鏈路已經(jīng)不能滿足業(yè)務(wù)流量的帶寬需求，所以許多企業(yè)通過新增出口鏈路的方式來(lái)擴(kuò)展帶寬。相比于直接擴(kuò)容初始鏈路的帶寬，新增出口鏈路更為靈活、方便和節(jié)約成本。同時(shí)，多條鏈路可以提高出口的穩(wěn)定性，如果其中有一條鏈路出現(xiàn)故障，導(dǎo)致中斷，另外的鏈路可以將流量接管過來(lái)，起到備份保障的作用。

　　 多出口鏈路的部署方式，改變了業(yè)務(wù)流量“一條道跑到黑”的模式，當(dāng)業(yè)務(wù)流量走到網(wǎng)關(guān)的十字路口前，從哪個(gè)出口走出去，成為多鏈路負(fù)載均衡需要解決的技術(shù)問題。

　　 1）多條鏈路帶寬差異大：企業(yè)網(wǎng)絡(luò)初建時(shí)，迫于成本壓力，一般出口帶寬都較小，而后期新增鏈路的帶寬都比較大，造成非對(duì)稱的多出口鏈路。如果業(yè)務(wù)流量不能合理分配，就會(huì)造成一條鏈路帶寬被占滿，其它鏈路還處于空閑，導(dǎo)致大量帶寬被浪費(fèi)。

　　 2）多運(yùn)營(yíng)商網(wǎng)絡(luò)質(zhì)量差異大：目前，國(guó)內(nèi)的網(wǎng)絡(luò)運(yùn)營(yíng)商之間競(jìng)爭(zhēng)激烈，不同運(yùn)營(yíng)商的網(wǎng)絡(luò)質(zhì)量不同，跨運(yùn)營(yíng)商的訪問存在延遲很大，丟包較多的現(xiàn)狀。比如訪問互聯(lián)網(wǎng)的一個(gè)WEB站點(diǎn)，一般DNS服務(wù)器對(duì)一個(gè)域名只能解析出一個(gè)IP，如果該域名解析出是聯(lián)通的IP，電信線路的用戶訪問該IP的體驗(yàn)將非常緩慢。那么內(nèi)網(wǎng)用戶訪問該WEB站點(diǎn)的流量該從哪個(gè)運(yùn)營(yíng)商的出口鏈路出去，才能有更好的網(wǎng)絡(luò)體驗(yàn)，是網(wǎng)關(guān)設(shè)備必須要解決的問題。

　　 3）多種應(yīng)用對(duì)帶寬需求差異大：隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)上的各種應(yīng)用層出不窮，各種網(wǎng)絡(luò)應(yīng)用對(duì)帶寬的需求不同。比如P2P下載對(duì)帶寬需求非常大，因?yàn)镻2P會(huì)產(chǎn)生大量連接，連接地址不僅數(shù)量眾多而且均不固定，可以迅速的擠占出口帶寬，導(dǎo)致業(yè)務(wù)流量無(wú)法正常轉(zhuǎn)發(fā)，影響企業(yè)業(yè)務(wù)運(yùn)轉(zhuǎn)和工作效率。

3.解決之道

　　 網(wǎng)康下一代防火墻NGFW產(chǎn)品在提供全方位的安全防護(hù)的功能的基礎(chǔ)上，在網(wǎng)關(guān)模式部署時(shí)提供多鏈路負(fù)載均衡功能，以適應(yīng)用戶多運(yùn)營(yíng)商鏈路或同運(yùn)營(yíng)商多鏈路接入的應(yīng)用場(chǎng)景。

　　 

NGFW多鏈路負(fù)載均衡結(jié)構(gòu)圖

1)實(shí)時(shí)檢測(cè)備份鏈路

　　 網(wǎng)康NGFW產(chǎn)品提供對(duì)多條鏈路的連通性實(shí)時(shí)檢測(cè)功能，以實(shí)現(xiàn)多條鏈路的冗余備份功能。如果出口鏈路的物理端口Down掉，NGFW以中斷方式快速切換到活動(dòng)鏈路轉(zhuǎn)發(fā)流量。同時(shí)，NGFW通過ICMP、TCP等協(xié)議的質(zhì)詢和應(yīng)答，實(shí)時(shí)檢測(cè)每條出口鏈路的邏輯連通性，即使端口處于UP，但由于遠(yuǎn)端故障導(dǎo)致的檢測(cè)報(bào)文超時(shí)，NGFW同樣會(huì)執(zhí)行鏈路切換的動(dòng)作，以保證網(wǎng)絡(luò)連接的可用性。

2)基于權(quán)重流量分擔(dān)

　　 網(wǎng)康NGFW產(chǎn)品提供了基于優(yōu)先級(jí)和權(quán)重的多鏈路流量分擔(dān)算法以滿足不同應(yīng)用場(chǎng)景的需求。針對(duì)多條帶寬差異較大的非對(duì)稱鏈路接入場(chǎng)景，基于權(quán)重流量分擔(dān)算法可以按照每條鏈路的帶寬比例分配出口流量，以達(dá)到更高效的利用出口鏈路帶寬的目的。

3)運(yùn)營(yíng)商智能選路

　　 網(wǎng)康NGFW產(chǎn)品內(nèi)置國(guó)內(nèi)的電信、聯(lián)通、移動(dòng)和教育網(wǎng)四大固網(wǎng)運(yùn)營(yíng)商的地址庫(kù)，可以智能的依據(jù)目的IP的運(yùn)營(yíng)商屬性來(lái)決定流量走向，將屬于該運(yùn)營(yíng)商的訪問自動(dòng)的指向該運(yùn)營(yíng)商的鏈路，實(shí)現(xiàn)“南北互通”自動(dòng)化。其余未識(shí)別出運(yùn)營(yíng)商屬性的流量，例如國(guó)外網(wǎng)絡(luò)的訪問等可通過默認(rèn)路由轉(zhuǎn)發(fā)。并且，NGFW會(huì)定期更新各大運(yùn)營(yíng)商的地址變化，保障智能路由優(yōu)選的準(zhǔn)確性。

4)智能應(yīng)用引流

　　 網(wǎng)康NGFW產(chǎn)品基于3100多種應(yīng)用的識(shí)別能力，可以將網(wǎng)絡(luò)中各種應(yīng)用進(jìn)行準(zhǔn)確分類和精細(xì)識(shí)別。例如，非業(yè)務(wù)應(yīng)用的P2P下載應(yīng)用經(jīng)常擠占業(yè)務(wù)流量，導(dǎo)致業(yè)務(wù)處理緩慢，影響工作效率，對(duì)于此類與業(yè)務(wù)無(wú)關(guān)的應(yīng)用可引流至鏈路質(zhì)量相對(duì)較差的鏈路進(jìn)行轉(zhuǎn)發(fā)；視頻會(huì)議、語(yǔ)音通信等對(duì)實(shí)時(shí)性要求較高，可引流至鏈路質(zhì)量較高的鏈路上轉(zhuǎn)發(fā)，以保證應(yīng)用交付質(zhì)量，提高企業(yè)業(yè)務(wù)處理的效率。

5)智能域名引流

　　 為了保證企業(yè)國(guó)際業(yè)務(wù)流量達(dá)到較好的訪問體驗(yàn)，同時(shí)又符合國(guó)家對(duì)訪問國(guó)際網(wǎng)站的合法性要求，網(wǎng)康NGFW提供了根據(jù)域名信息智能引流的功能。得益于超強(qiáng)的應(yīng)用識(shí)別技術(shù)，網(wǎng)康NGFW可準(zhǔn)確識(shí)別網(wǎng)絡(luò)流量中的域名信息，并配置指定域名的引流策略，同時(shí)結(jié)合DNS代理功能保證較優(yōu)的DNS解析結(jié)果。例如可通過DNS代理功能，將www.google.com的解析請(qǐng)求送至國(guó)際鏈路的DNS服務(wù)器解析，進(jìn)而由企業(yè)的國(guó)際鏈路轉(zhuǎn)發(fā)對(duì)該域名的訪問。

4.總結(jié)

　　 防火墻產(chǎn)品作為企業(yè)內(nèi)網(wǎng)安全的守護(hù)者，抵御各種網(wǎng)絡(luò)威脅對(duì)內(nèi)網(wǎng)設(shè)備的攻擊，一般部署在企業(yè)網(wǎng)絡(luò)的最外層，需要以網(wǎng)關(guān)模式直接與運(yùn)營(yíng)商鏈路連接。所以，下一代防火墻產(chǎn)品必須支持靈活的多鏈路負(fù)載功能，以應(yīng)對(duì)當(dāng)前企業(yè)網(wǎng)絡(luò)信息化快速發(fā)展的需求。網(wǎng)康下一代防火墻提供的多鏈路負(fù)載均衡方案，不僅能夠通過多鏈路的冗余備份技術(shù)提高企業(yè)網(wǎng)絡(luò)的可用性，還能基于各種流量分擔(dān)技術(shù)、智能選路和引流技術(shù)保障企業(yè)網(wǎng)絡(luò)出口帶寬的有效利用，保障業(yè)務(wù)流量的實(shí)時(shí)性和可靠性，從而提高企業(yè)信息化業(yè)務(wù)的工作效率。