冰川網(wǎng)絡(luò)出口鏈路負(fù)載均衡系統(tǒng) 內(nèi)網(wǎng)智能DNS 系統(tǒng)---網(wǎng)絡(luò)出口解決方案2013/06 ,目 錄---網(wǎng)絡(luò)出口解決方案 ..........................

冰川網(wǎng)絡(luò)出口鏈路負(fù)載均衡系統(tǒng)

內(nèi)網(wǎng)智能DNS 系統(tǒng)

---網(wǎng)絡(luò)出口解決方案

2013/06

目 錄

---網(wǎng)絡(luò)出口解決方案 ................................................................................................................... 1

1 概述 ......................................................................................................................................... 3

2 冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡解決方案 . ..................................................................................... 5

2.1 鏈路優(yōu)選方案 .................................................................................................................. 6

2.2 鏈路健康檢測(cè) .................................................................................................................. 7

2.3 流入（Inbound ）流量處理 ............................................................................................. 8

2.4 流出（OutBount) 流量處理 ............................................................................................. 8

2.5 冰川智能DNS 配合鏈路負(fù)載......................................................................................... 9

2.6 基于ASIC 芯片的NAT 及路由技術(shù) . ........................................................................... 10

3 冰川獨(dú)特優(yōu)勢(shì)........................................................................................................................ 10

3.1 基于ASIC 轉(zhuǎn)發(fā)技術(shù)和傳統(tǒng)CPU 的靈活性完美結(jié)合 . ............................................... 10

3.2 基于協(xié)議的鏈路負(fù)載技術(shù) ............................................................................................ 10

3.3 多點(diǎn)探測(cè)技術(shù)(Multi-Detection Technology) ................................................................ 11

3.4 人性化的配置界面 ........................................................................................................ 11

4 設(shè)備管理................................................................................................................................. 11

5 總結(jié) ....................................................................................................................................... 13

1 概述

采用多條鏈路的網(wǎng)絡(luò)用戶常常會(huì)用到以下問(wèn)題：

1. 出口鏈路流量不均衡。采用傳統(tǒng)策略路由的方法, 如果選選擇DNS 走聯(lián)通鏈路，則會(huì)導(dǎo)致聯(lián)通鏈路滿載。而其他鏈路相對(duì)較為空閑。聯(lián)通和電信以及移動(dòng)網(wǎng)的鏈路都是100M 的情況下，這三條鏈路雖然帶寬充裕，但基于傳統(tǒng)路由方式的話，其帶寬卻無(wú)法高效的利用起來(lái)。

2. 出口鏈路無(wú)法實(shí)現(xiàn)鏈路負(fù)載冗余。當(dāng)某條出口鏈路中斷時(shí)，會(huì)影響到訪問(wèn)此區(qū)域的網(wǎng)站。

3. 傳統(tǒng)的鏈路解決方案是在防火墻或路由器上做策略路由，雖然在一定程度上能夠解決鏈路單點(diǎn)故障和選路問(wèn)題，但是其配置復(fù)雜，維護(hù)困難的缺點(diǎn)卻暴露無(wú)疑，

通過(guò)路由協(xié)議，雖然可以實(shí)現(xiàn)部分鏈路負(fù)載的功能，但真正意義上的流量負(fù)載均衡還是做不到。路由協(xié)議不知道每一個(gè)鏈路當(dāng)前的流量負(fù)載和活動(dòng)會(huì)話。此時(shí)的任何負(fù)載均衡都是很不精確的，最多只能叫做“鏈路共享”。

對(duì)外訪問(wèn)，有的鏈路會(huì)比另外的鏈路容易達(dá)到。雖然路由協(xié)議知道一些就近性和可達(dá)性，但是他們不可能結(jié)合諸如路由器的HOP 數(shù)和到目的網(wǎng)絡(luò)延時(shí)及鏈路的負(fù)載狀況等多變的因素，做出精確的路由選擇。

對(duì)內(nèi)流量，也就是外網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器的流量，通過(guò)路由協(xié)議會(huì)為其指定一條鏈路，但是有的鏈路可能會(huì)更適合為此用戶提供服務(wù)。

沒(méi)一種路由機(jī)制能結(jié)合DNS ，就近性，路由器負(fù)載，做出判斷哪一條鏈路可以對(duì)外部用戶來(lái)提供最優(yōu)的服務(wù)。傳統(tǒng)解決方案無(wú)法完全發(fā)揮多鏈路優(yōu)勢(shì)

下圖是一個(gè)多鏈路接入的典型拓?fù)?，在圖中內(nèi)部網(wǎng)絡(luò)到Internet 有2條接入鏈路，其中一條通過(guò)ISP1進(jìn)行鏈接，而另一條則通過(guò)ISP2鏈接。

傳統(tǒng)多歸路方案：每個(gè)ISP 為內(nèi)網(wǎng)分配一個(gè)不同的IP 地址網(wǎng)段。因而，對(duì)內(nèi)網(wǎng)來(lái)說(shuō)2個(gè)IP 網(wǎng)段同時(shí)生效。

存在問(wèn)題：地址的靜態(tài)分配給尋址帶來(lái)了很大的復(fù)雜性。

除了復(fù)雜性之外，傳統(tǒng)的多鏈路網(wǎng)絡(luò)也具有一些人們尚未完全認(rèn)識(shí)的不足： ● 網(wǎng)絡(luò)有多個(gè)鏈路與Internet 相接，即使用最復(fù)雜的協(xié)議，例如BGP4，

真正意義上的流量負(fù)載均衡還是做不到。路由協(xié)議不會(huì)知道每一個(gè)鏈路當(dāng)前的流量負(fù)載和活動(dòng)會(huì)話。此時(shí)的任何負(fù)載均衡都是很不精確的，最多只能叫做“鏈路共享”。

● 對(duì)外訪問(wèn)，有的鏈路會(huì)比另外的鏈路容易達(dá)到。雖然路由協(xié)議知道一些

就近性和可達(dá)性，但是他們不可能結(jié)合諸如路由器的HOP 數(shù)和到目的網(wǎng)絡(luò)延時(shí)及鏈路的負(fù)載狀況等多變的因素，做出精確的路由選擇。

● 對(duì)內(nèi)流量（比如， Internet用戶想訪問(wèn)有多條鏈路接入的網(wǎng)上的一臺(tái)

服務(wù)器）。有的鏈路會(huì)比另外的鏈路更好地對(duì)外提供服務(wù)。沒(méi)一種路由機(jī)制能結(jié)合DNS ，就近性，路由器負(fù)載，做出判斷哪一條鏈路可以對(duì)外部用戶來(lái)提供最優(yōu)的服務(wù)。

傳統(tǒng)的多鏈路接入依靠復(fù)雜的設(shè)計(jì)，解決了一些接入鏈路存在單點(diǎn)故障的問(wèn)題。 但是，它遠(yuǎn)遠(yuǎn)沒(méi)有把多鏈路接入的巨大優(yōu)勢(shì)發(fā)揮出來(lái)。

2 冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡解決方案

典型的冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡解決方案架構(gòu)如下圖所示：

貴單位有兩條出口鏈路，一個(gè)聯(lián)通100M ，一個(gè)為電信100M ，我們可以在網(wǎng)絡(luò)的出口的位置放置冰川多鏈路負(fù)載均衡系統(tǒng)。這樣可以實(shí)現(xiàn)對(duì)多條Internet 接入鏈路的負(fù)載均衡，在內(nèi)網(wǎng)服務(wù)器區(qū)域部署冰川嵌入式智能DNS 。

如果當(dāng)一個(gè)出口線路出現(xiàn)故障，負(fù)載均衡器可以及時(shí)地檢測(cè)到，并將內(nèi)外網(wǎng)流量轉(zhuǎn)到另一個(gè)出口鏈路上，網(wǎng)絡(luò)仍然可以正常運(yùn)行。冰川多鏈路負(fù)載均衡系統(tǒng)可以支持多達(dá)十幾條的出口接鏈路。

冰川網(wǎng)絡(luò)鏈路負(fù)載均衡設(shè)備上含有外網(wǎng)DNS 解析模塊，可以同時(shí)實(shí)現(xiàn)

inbound 流量(Internet用戶訪問(wèn)內(nèi)部服務(wù)器) 的負(fù)載均衡。將內(nèi)網(wǎng)服務(wù)器對(duì)外提供服務(wù)的地址按照不同的網(wǎng)絡(luò)運(yùn)營(yíng)商公網(wǎng)地址發(fā)布到公網(wǎng)后，在外網(wǎng)DNS 模塊上進(jìn)行地址解析，以唯一的域名將多個(gè)WEB 站點(diǎn)發(fā)布到公網(wǎng)，DNS 在進(jìn)行解析之前會(huì)產(chǎn)自判斷分支用戶的解析請(qǐng)求來(lái)自哪個(gè)ISP 運(yùn)營(yíng)商，然后針對(duì)不同的運(yùn)營(yíng)商對(duì)域名進(jìn)行不同的IP 地址解析返回給用戶，使外網(wǎng)用戶能夠在本運(yùn)營(yíng)商的網(wǎng)絡(luò)環(huán)境中更加快速的訪問(wèn)服務(wù)器。

此外，冰川多鏈路負(fù)載均衡系統(tǒng)具有防火墻模塊，可以抵御DoS/DDoS的功能及內(nèi)網(wǎng)防護(hù)功能等有效地保護(hù)內(nèi)網(wǎng)的服務(wù)器免遭攻擊。

針對(duì)各種用戶的典型需求，冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡在以下幾個(gè)環(huán)節(jié)上提供了先進(jìn)的功能和完善的解決方案：

● 最佳鏈路選擇；

● 基于“MDT ”技術(shù)的鏈路健康檢測(cè)；

● 外網(wǎng)智能DNS ，為外網(wǎng)訪問(wèn)內(nèi)網(wǎng)提供最佳鏈路；

● 智能地址翻譯；

● ASIC 加速模塊；

● 流量控制和管理（可選）；

冰川嵌入式智能DNS 可以為內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)提供解析服務(wù)，將內(nèi)網(wǎng)不同用戶的不同網(wǎng)絡(luò)資源訪問(wèn)請(qǐng)求的DNS 解析轉(zhuǎn)發(fā)到指定的運(yùn)營(yíng)商線路，使用戶請(qǐng)求不同的網(wǎng)絡(luò)資源分配到不同的線路上，從域名解析層面上對(duì)網(wǎng)絡(luò)流量進(jìn)行智能負(fù)載均衡，大提高了網(wǎng)絡(luò)出口線路的利用率?？蓪⑾螺d、視頻、P2P 等占用帶寬比較大的流量解析到電信線路上，將WEB 、IM 、網(wǎng)游等戰(zhàn)勝帶寬比較小但數(shù)實(shí)時(shí)性要求比較高的網(wǎng)絡(luò)應(yīng)用流量解析到聯(lián)通等線路。

2.1 鏈路優(yōu)選方案

冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡能夠同時(shí)實(shí)現(xiàn)雙向（Inbound 和Outbound ）流量在多條兩路上的負(fù)載均衡的。

● 鏈路健康狀況檢查：出口鏈路負(fù)載均衡設(shè)備采用"MDT(Multi-Detection

Technology) 方式判斷鏈路的健康狀況，可同時(shí)對(duì)多條ISP 的多個(gè)探測(cè)點(diǎn)進(jìn)行鏈路檢測(cè)。

● Inbound 流量處理方面主要利用了DNS 和NAT 技術(shù)；

● Outbound 流量處理主要利用了NAT 技術(shù)。

● 鏈路的選擇時(shí)，基于TCP/UDP的"SESSION 流" 技術(shù):即協(xié)議、源IP 、目的

IP 、源端口、目的端口五元素稱(chēng)之為一個(gè)“SESSION ”，也就是一個(gè)連接數(shù)。出入流量均只針對(duì)新建的SESSION ，對(duì)于已經(jīng)建立起連接的SESSION ，會(huì)保持原有的鏈路不改變。

如圖：

2.2 鏈路健康檢測(cè)

冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡會(huì)通過(guò)多種方式檢測(cè)兩條鏈路的健康狀況，一旦發(fā)現(xiàn)其中一條鏈路故障，會(huì)立即將所有用戶流量定向至其它可用鏈路，從而實(shí)現(xiàn)Internet 連接的高可用性。主要的方法有：

● MDT 方式的健康檢查

為了確保ISP 鏈路的暢通，冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡將采用Ping 的方法，可檢查多個(gè)目的地址是否暢通，從而來(lái)判斷ISP 鏈路是否暢通。還可以基于自定義源地址的辦法來(lái)進(jìn)行檢測(cè)。

注：該方法要求ISP 的鏈路對(duì)ICMP 開(kāi)放。

高級(jí)健康檢查

針對(duì)所有的網(wǎng)絡(luò)環(huán)境（包括禁止ICMP 的ISP ），冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡提供了豐富的4～7層檢查方式，并可以通過(guò)多種檢查結(jié)果的“與”和“或”運(yùn)算結(jié)果，最終準(zhǔn)確判斷鏈路的健康狀況。例如：通過(guò)CNC 的路徑，同時(shí)檢查www.sohu.com 和www.sina.com 的80端口，并將檢查結(jié)果做“或”運(yùn)算，只要一個(gè)檢查通過(guò)即可判斷CNC 鏈路正常。避免了某網(wǎng)站故障導(dǎo)致鏈路狀態(tài)誤判的可能性。

2.3 流入（Inbound ）流量處理

冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡開(kāi)啟外網(wǎng)智能DNS 模塊，配合將域名的解析功能導(dǎo)向到多鏈路負(fù)載均衡，由冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡來(lái)進(jìn)行路由。這樣當(dāng)遠(yuǎn)程通過(guò)域名訪問(wèn)網(wǎng)站時(shí)，逐步通過(guò)遠(yuǎn)程用戶的本地DNS 服務(wù)器、根DNS 服務(wù)器，最終由冰川智能DNS 系統(tǒng)來(lái)進(jìn)行域名的解析。此時(shí)就會(huì)通過(guò)靜態(tài)列表或者動(dòng)態(tài)判斷算法，選擇最優(yōu)的線路，然后將域名解析成相應(yīng)線路的IP 地址。

例如：當(dāng)某個(gè)網(wǎng)通的遠(yuǎn)程用戶訪問(wèn)網(wǎng)站時(shí)，首先向他當(dāng)?shù)氐腄NS 服務(wù)器發(fā)起域名解析的請(qǐng)求，再通過(guò)他接入運(yùn)營(yíng)商的根DNS 服務(wù)器，最終總歸會(huì)向冰川智能DNS 系統(tǒng)請(qǐng)求DNS 解析，此時(shí)冰川智能DNS 系統(tǒng)就會(huì)通過(guò)靜態(tài)列表或者動(dòng)態(tài)判斷算法，選擇最優(yōu)的線路（網(wǎng)通），然后將域名解析成網(wǎng)通線路的IP 地址（218.x.x.1）。這樣遠(yuǎn)程的網(wǎng)通用戶就會(huì)使用網(wǎng)通的目標(biāo)IP 地址，通過(guò)網(wǎng)通的線路進(jìn)行訪問(wèn)，實(shí)現(xiàn)了訪問(wèn)時(shí)鏈路方面的負(fù)載均衡優(yōu)化。

2.4 流出（OutBount) 流量處理

針對(duì)向外的流量，鏈路負(fù)載均衡設(shè)備會(huì)動(dòng)態(tài)的根據(jù)各ISP 鏈路的繁忙及管理員定義的策略來(lái)進(jìn)行路由和NAT 。如果一條鏈路發(fā)生故障，冰川多鏈路負(fù)載均衡系統(tǒng)能自動(dòng)的將流量切換到別的正常的鏈路上，而不需要人工操作。在鏈路故障時(shí)，冰川多鏈路負(fù)載均衡系統(tǒng)能自動(dòng)周期性的進(jìn)行檢測(cè)，一旦檢測(cè)到這條鏈路恢復(fù)正常，將再次啟用此鏈路。

同時(shí)針對(duì)用戶訪問(wèn)的目的地址，檢測(cè)各鏈路的反應(yīng)速度，選擇反應(yīng)最快的鏈路轉(zhuǎn)發(fā)流量。

2.5 冰川智能DNS 配合鏈路負(fù)載

單單靠鏈路負(fù)載，并不能充分有效的利用網(wǎng)絡(luò)出口鏈路，還需要智能DNS 服務(wù)器負(fù)載相結(jié)合實(shí)現(xiàn)出向流量鏈路負(fù)載均衡。我們知道ISP 地址精確匹配是提高用戶感受的最直接方式，它的問(wèn)題是鏈路流量負(fù)載不均衡，而造成流量分配不均衡的原因則是由于客戶端的DNS 解析造成的。

原因之一是國(guó)內(nèi)的大型數(shù)據(jù)中心和大型站點(diǎn)，采用多運(yùn)營(yíng)商鏈路方式接入互聯(lián)網(wǎng)，或在不同運(yùn)營(yíng)商建立獨(dú)立的數(shù)據(jù)中心。因此相同的域名，用戶使用不同運(yùn)營(yíng)商的DNS 服務(wù)器，解析出的IP 地址可能完全不同。當(dāng)用戶使用聯(lián)通的DNS 時(shí)，在網(wǎng)絡(luò)上解析到地聯(lián)通地址會(huì)遠(yuǎn)遠(yuǎn)大于其他運(yùn)營(yíng)商的地址，這樣網(wǎng)通的出口鏈路利用率會(huì)不斷增加，而其他鏈路的利用率卻不高，如果單單靠鏈路負(fù)載均衡把去往聯(lián)通線路的流量切換到其他運(yùn)營(yíng)商的鏈路上，這樣會(huì)造成用戶訪問(wèn)聯(lián)通的資源時(shí)網(wǎng)速慢。

例如在高校網(wǎng)絡(luò)中，學(xué)生某一時(shí)間段集中觀看體育賽事直播時(shí)，可能出現(xiàn)某條鏈路帶寬快速被占滿，使鏈路變得擁塞，而出現(xiàn)直播視頻傳輸不暢，而一些沒(méi)有觀看體育賽事，而需要瀏覽普通網(wǎng)頁(yè)等應(yīng)用時(shí)，由于帶寬被嚴(yán)重戰(zhàn)勝，即使負(fù)載將流量切換到其他運(yùn)營(yíng)商線路上，由于運(yùn)營(yíng)商之間互聯(lián)互通的問(wèn)題，用戶仍然感覺(jué)沒(méi)有使用主DNS 所在運(yùn)營(yíng)商的的線路流暢。

對(duì)此，冰川嵌入式智能DNS 可以將根據(jù)終端用戶訪問(wèn)的不同內(nèi)容，將不同網(wǎng)絡(luò)類(lèi)型的解析發(fā)送到不同運(yùn)營(yíng)商的DNS 進(jìn)行解析，然后將返回的結(jié)果給終端用戶，例如可以將視頻、下載等網(wǎng)絡(luò)類(lèi)型的解析通過(guò)移動(dòng)線路進(jìn)行解析，將WEB 等普通應(yīng)用的DNS 解析發(fā)送聯(lián)通、電信等運(yùn)營(yíng)商的線路上，這樣可以是不同類(lèi)型

的流量解析到不同的線路上，能夠充分優(yōu)先保障用戶瀏覽WEB 等能夠獲得更快速的體驗(yàn)。

2.6 基于ASIC 芯片的NAT 及路由技術(shù)

在冰川Glacier 5188及其他模塊話的產(chǎn)品上, 可選支持基于ASIC 芯片的多端口模塊(可選2光2電模塊，4光4電模塊,8光模塊等), 配合GFOS 操作系統(tǒng)，ASIC 模塊與硬件共享內(nèi)存，能自行處理NAT 和路由。整個(gè)過(guò)程無(wú)需硬件處理器的參與。大大提升了產(chǎn)品的性能。能做到10G 流量64字節(jié)小包線速NAT 轉(zhuǎn)發(fā)。此技術(shù)目前其他鏈路負(fù)載均衡產(chǎn)品均無(wú)法達(dá)到此性能。

3 冰川獨(dú)特優(yōu)勢(shì)

3.1 基于ASIC 轉(zhuǎn)發(fā)技術(shù)和傳統(tǒng)CPU 的靈活性完美結(jié)合

傳統(tǒng)的鏈路負(fù)載均衡系統(tǒng)大部分基于通用處理器技術(shù), 當(dāng)作為出口鏈路負(fù)載并且做NAT 、流量特別大的時(shí)候，會(huì)導(dǎo)致CPU 利用率居高不下，甚至當(dāng)機(jī)。冰川出口鏈路負(fù)載均衡采用了通用處理器 ASIC加速模塊的方式來(lái)解決這個(gè)問(wèn)題。此種技術(shù)為當(dāng)前最前瞻的技術(shù)：通用處理器負(fù)責(zé)SESSION 第一個(gè)報(bào)文的處理，包括匹配ACL 、路由、NAT 等。并且把該報(bào)文的處理結(jié)果在內(nèi)存中進(jìn)行記憶。對(duì)于后續(xù)的數(shù)據(jù)包。ASIC 加速模塊根據(jù)內(nèi)存中的記憶，直接進(jìn)行處理。不需要經(jīng)過(guò)通用處理器。大大提升了產(chǎn)品的性能。

3.2 基于協(xié)議的鏈路負(fù)載技術(shù)

所有的用戶和運(yùn)營(yíng)商都不得不面臨一個(gè)相同問(wèn)題：非關(guān)鍵業(yè)務(wù)流量占用的大量的可用帶寬，其中P2P 流量，如BT 下載，更是如此。不但造成了網(wǎng)絡(luò)擁塞，還可能影響到關(guān)鍵的業(yè)務(wù)和應(yīng)用。

冰川網(wǎng)絡(luò)多鏈路負(fù)載均衡上可以集成基于策略和特征的帶寬管理功能，識(shí)別各種業(yè)務(wù)流量，特別是能夠識(shí)別多種P2P 流量?？梢园凑沼脩舻木唧w需求，分配帶寬資源和進(jìn)行鏈路負(fù)載。在保證關(guān)鍵業(yè)務(wù)的同時(shí)，讓用戶充分享受Internet 網(wǎng)絡(luò)的豐富資源。通過(guò)帶寬管理以及實(shí)現(xiàn)各個(gè)鏈路的最大容量，可以避免帶寬消