多链路接入的流量管理及其在城域网中应用
随着网络规模的不断扩大和网络应用的日益丰富,运营商不仅仅需要保证网络的连通性,还需要加强管理网络资源和关注网络安全。
采用多链路接入的网络结构,意味着即使其中的一条Internet链路或路由器发生故障,数据的传输仍然可以不受影响,而且到Internet的接入带宽是每个链路可用带宽的总和。当然,只有当所有的链路都得到应用的时候才能达到最佳性能。
二、多链路接入方案比较
1、流量管理传统的解决方案
上图是一个多链路接入的典型拓扑,在图中内部网络到Internet有2条接入链路,其中一条通过ISP1进行链接,而另一条则通过ISP2链接。其中最重要的是IP寻址机制,它通常有两种做法。这两种做法是根据图中内网使用的IP机制来配置的:
1)对内网指定一个唯一的IP地址段。这需要2个ISP之间进行沟通和合作,为这个IP网段到Internet其它部分的链接指定正确的路由,同时必须确保这两个链接都是用于输入流量的。
2)每个ISP为内网分配一个不同的IP地址网段。因而,对内网来说2个IP网段同时生效,这就存在输入流量使用什么IP网段的问题。如果使用网段1(由ISP1分配),若到ISP1的链接失败了,那么相应的流量就失去了返回到网络的路径,因为网段1只能通过ISP1才可达到。同样的原因,如果只使用了网段2,那么ISP1的链接就不会用于输入流量。所以,问题在于必须指出输入流量的IP地址。如果两个网段的地址都指定了,流量管理那么DNS的故障恢复及其弹性将变成需要寻址的附加因素。
以上这些都说明了传统的多链路网络给寻址带来了很大的复杂性。除了复杂性之外,传统的多链路网络也具有一些人们尚未完全认识的不足:
1)网络有多个链路与INTERNET相接,即使用最复杂的协议,真正意义上的流量负载均衡还是做不到。路由协议不会知道每一个链路当前的流量负载和活动会话。此时的任何负载均衡都是很不精确的,最多只能叫做“链路共享”。
2)对外访问,有的链路会比另外的链路容易达到。虽然路由协议知道一些就近性和可达性,但是他们不可能结合诸如路由器的HOP数和到目的网络延时及链路的负载状况等多变的因素,做出精确的路由选择。
3)流量管理 对内流量(比如,INTERNET用户想访问有多条链路接入的网络内的一台服务器)。有的链路会比另外的链路更好地对外提供服务。没有一种路由机制能结合DNS,就近性,路由器负载,做出判断哪一条链路可以对外部用户来提供最优的服务。
由此可见,传统的多链路接入依靠复杂的设计,解决了一些接入链路存在单点故障的问题。 但是,它远远没有把多链路接入的巨大优势发挥出来。
2、基于LinkProof流量管理设备的解决方案
Radware公司的LinkProof是一个专门用于多链路网络、易于管理的负载均衡及流量管理设备,它消除了使用路由选择协议和不确定流量类型所带来的复杂性,优化了不同ISP提供的多条链路,以确保对所有的接入链路达到高效的使用,并对流入或流出的数据进行动态均衡的管理。
流量管理 采用Radware的LinkProof实现多链路接入网络的解决方案,其典型拓扑图如下:
1)LinkProof对Outbound流量的管理
LinkProof可以实时监视每条Internet接入链路的状态。它可以通过Ping、检查TCP port和UDP port等手段实时检测网络内侧和外侧高达10跳节点的工作状态。当内部用户和外部网络进行联系时,LinkProof/LinkProof Branch将检查各条链路的健康状态、带宽情况、当前负载等综合指标,做一个加权运算,选择情况较好的链路来传输数据,同时将该用户的内部地址NAT成被选择的链路对应的合法地址。
2)LinkProof对Inbound流量的管理
LinkProof使用Radware专有的SmartNAT(智能网络地址转换)技术,以保证网络之间进行不间断的分组传递。所谓智能网络地址转换,也就是LinkProof能够根据各条接入链路的状态的不同,动态地将内部server的IP地址NAT为其中最好的ISP所提供的合法IP地址提供给外部客户进行访问。
3)流量管理LinkProof的就近性运算
LinkProof在健康检查的同时,还可以采用特有的优化的内容路由技术,根据用户访问的目的IP、各条链路的负载等情况来综合考虑请求内容的网络就近性(网络就近性的规则可以自定义)、链路实时负载与链路成本,计算出内部用户访问Internet的最佳路径,确保用户能够通过最佳链路传送特定内容,充分地享受到优化的服务和快速地响应。
综上所述,采用LinkProof实现多链路网络的接入较传统的方案有以下好处:
1)LinkProof可智能地管理分配给网络的不同ISP的IP网段;
2)对所有通过可用链路输出的流量进行智能化的负载均衡,LinkProof确保了与所有ISP的链路达到最优化状态,同时管理用于对外流量的网段;
3)流量管理 LinkProof利用Radware业已证明有效的就近性算法,可以综合考虑链路的可用性、负载、带宽,为对外流量选择最佳的ISP链路;
4)作为智能DNS server它可以管理流入网络的流量, 保证全部流量地从两根链路进入。就近性的算法同样可以保证一条最佳的链路给对内的访问流量。
三、基于linkProof的流量管理在城域网中的应用
目前南京联通城域网承载了多项互联网业务,主要是企事业大客户的互联网专线业务。企事业大客户中网络应用的多样性,造成了不同应用对带宽、流速存在完全迥异的需求。目前多数企事业大客户采用租用多家运营商的多条链路实现链路层的冷备份或不完全备份,为此我们针对这类大客户的实际需求,采用Radware的LinkProof设备,设计了一套多链路接入方案,将客户的出网流量根据不同的流量均衡策略分流到多条租用链路上。这样不仅节约了租用成本(对于主要流量超过10M但远低于100M的企事业客户,租用一条100M链路的成本远大于租用2-3条10M链路的成本),而且进一步优化了网络性能和安全性。
1、网络结构
为更好地阐明Linkproof设备对流量的管理作用,实验中选用了三家ISP的四条出口链路进行分流,实际情况可综合考虑企事业大客户的具体应用和流量确定分流的链路数量和策略,该方案的网络拓扑图如下(图中ISP1的链路质量要保证是可靠性最高的):
2、实现功能
出于对访问速度、链路冗余保护等网络实效性和安全性的考虑,该方案通过LinkProof对流量的管理功能实现了以下的几个要求:
1)需要被访问的Web应用服务器,其流量不通过LinkProof被分流到ISP2、ISP3的三条出口(也可以针对个别Web服务器启用LinkProof对Inbound流量的管理);
2)不需要被访问的应用的出口流量,分为以下三种情况进行分流:
a)访问ISP1网内的流量保持原来路由,从ISP1网内通过,即目标地址为ISP1网内地址的流量不指向LinkProof;
b)访问ISP1网外的流量通过LinkProof分流送往ISP2、ISP3的三条出口,其中部分访问ISP3的流量从ISP3的2M链路上通过,即目标地址为指定的部分ISP3地址段的流量在LinkProof上以ISP3的2M出口链路作为主用链路;
c) 访问ISP1网外的流量通过LinkProof分流送往ISP2、ISP3出口,其中访问ISP2的全部流量和访问国际、其余部分ISP3等的流量分别从2条ISP2的10M链路上通过,即目标地址不是a)、b)策略项中指定的地址段,其流量在LinkProof上以ISP2的2条10M链路为主用链路,同时通过LinkProof提供的轮询算法在这两条链路上实现流量的负载均衡。
相关信息: