互聯網的發展使上網成為企業越來越重要的需求，企業上網已經不僅僅是為了建一個網站對企業進行宣傳或滿足員工對互聯網的訪問。隨著應用水平的提高，企業對互聯網的應用早已擴大到電子商務、移動辦公人員的VPN撥入、系統的遠程維護等關系到企業日常運行的應用。因此在網絡建設中不僅要考慮企業上網的安全性，其可靠性和可用性也是必須要考慮的部分。

在我們企業，原有的局域網采用一臺PIX525防火墻連接到外部網絡，通過防火墻上的四個以太網端口連接與企業網絡相關的四個不同安全等級的區域：Inside端口連接企業局域網，Outside端口連接互聯網，DMZ1端口連接企業互聯網業務服務器集群區域，DMZ2端口連接行業網。從可靠性上看，網絡結構存在單點故障。作為網絡出口的核心設備，一臺防火墻承載著所有應用，不僅負載較大而且沒有冗余，一旦出現故障將影響到所有應用。采用一條互聯網接入鏈路也存在著單點故障，ISP網絡的連接失效以及互聯網接入運營商調整線路、維護等問題都會影響到企業互聯網應用的正常運行。從可用性上看，10M的互聯網帶寬已無法滿足企業日益增長的應用需求，而且使用一個ISP的網絡會由于各大ISP網間的互聯互通問題造成在不同ISP網絡之間的應用緩慢或不穩定。針對以上問題，我們選擇了負載均衡技術改造網絡出口，保障企業上網應用的需求。

需求分析

針對目前存在的問題，并充分考慮企業的實際應用需求，網絡出口的負載均衡方案要求實現如下目標：

1.關鍵設備及鏈路的負載均衡和故障冗余，并要求網絡具有靈活的擴展空間，將來能根據實際應用需求的增長在充分利用現有網絡設備和網絡拓撲的情況下對網絡出口進行擴展。

2.互聯網接入的負載均衡和故障冗余，選用兩條不同ISP鏈路，為企業提供服務。兩條鏈路之間要求建立起一定的流量管理機制，能夠合理有效地分配兩條鏈路的資源，并在某鏈路發生故障時自動將其流量切換到另外的鏈路，自動實現透明容錯。當鏈路恢復時自動將其加入到負載均衡組中，實現VPN撥入的容錯功能。

3.智能管理不同ISP提供的網絡服務，優化所有的ISP鏈路。對外訪問要求到ISP1的數據由ISP1鏈路出，返回的數據依然由ISP1的鏈路回;同樣到ISP2的數據也一樣。對內訪問要求服務器的內網地址能同時映射兩個ISP的公網地址，統一域名，遠程訪問通過動態的DNS來找出目前最合適的ISP連接訪問服務器。

技術分解

根據需求分析，我們采用了防火墻集群和多鏈路負載均衡兩個技術方案來實現企業上網的負載均衡。

我們使用兩臺SG-1000防火墻設置成集群，在防火墻上實現負載均衡和故障冗余。集群節點負載的分配主要根據防火墻CPU的利用率來決定，利用防火墻集群的多鏈路技術實現了互聯網鏈路的負載均衡和故障冗余(如圖1) 。互聯網接入采用移動(ISP1)和電信(ISP2)兩條當地主要互聯網運營商的10M鏈路，每個ISP都分配給企業網絡一個IP地址段。多鏈路技術提供了高可靠性的ISP連接，解決了ISP單點失效及Internet服務不可靠和反應緩慢等問題.，并同時在流出流量和流入流量間實現兩條ISP鏈路的負載均衡和故障冗余。在正常情況下兩條鏈路上的流量是均衡的，并根據訪問的IP地址自動選擇最優路徑。

對于在防火墻集群DMZ區的對外服務器，每一臺服務器定義了一個服務器地址池，一個內網IP映射兩個公網的IP，兩個IP地址統一域名。防火墻集群定時檢測鏈路，進行DDNS更新。遠程訪問將通過動態的DNS來找出目前最合適的ISP連接，將數據包發到服務器相應的IP地址上。

移動用戶VPN的撥入默認通過ISP1線路進入認證服務器，當ISP1的線路出現問題的時候，VPN客戶端自動通過ISP2線路撥入，在雙鏈路之間實現了VPN接入的容錯。

在網絡邊界，我們配置了兩臺相同配置型號的PIX防火墻(PIX-A和PIX-B)加強安全防護。為了均衡PIX防火墻的負載，提高網絡性能，我們改變傳統的兩臺設備之間一主一備的工作模式，實現防火墻之間的Active/Active冗余工作模式。每一臺物理防火墻都虛擬出兩個邏輯防火墻Fw-a和Fw-b，Fw-a連接ISP1網絡，Fw-b連接ISP2網絡。PIX-A的Fw-a與PIX-B的Fw-a形成Active/Standby模式，PIX-B的Fw-b與PIX-A的Fw-b形成Active/Standby模式。

把PIX525的IOS升級到7.21以及升級ASDM到5.21，把防火墻設成多容器狀態，啟用Failover功能。為了Active/Active模式建立兩個Failover Group，然后定義虛擬防火墻Fw-a和Fw-b。

以下是引用片段：

wr erase start-config 

mode multiple

Failover

failover link link Ethernet0

failover interface ip link 10.0.4.1 255.255.255.0 standby 10.0.4.11

failover group 1

primary

failover group 2

secondary

context Fw-a

join-failover-group 1

context Fw-b

join-failover-group 2

應用效果

負載均衡在網絡出口應用之后，提高了企業連接互聯網的帶寬，實現了設備和鏈路的冗余，并對網絡的流量進行了智能化的管理，從而有效地保障了企業上網的可靠性和可用性。為檢驗效果，我們以局域網訪問互聯網為例進行測試，以ISP1本地網站movie.mccly.com和ISP2本地網站為目標進行Tracert測試。圖2為兩條ISP鏈路同時連接，負載均衡啟用的測試結果顯示：到達兩個網站的路徑都是5hops，延遲小于10ms。圖3為斷開ISP2鏈路，單獨連接ISP1網絡的測試結果：到達ISP1網站的路徑和延遲不變，但到達ISP2的路徑增加到14hops，延遲為13ms。由兩個結果對比可看出，負載均衡為每一個數據包選擇了一條最優的路由路徑，訪問速度得到了優化，提高了網絡出口的可用性。　　

圖1 改造后的網絡拓撲圖　　

圖2 斷開ISP2鏈路，單獨連接ISP1網絡的測試結果　

圖3 兩條ISP鏈路同時連接，負載均衡啟用的測試結果

【編輯推薦】

1. 不同網絡層面上的網絡負載均衡技術
2. VRRP技術實現網絡的路由冗余和負載均衡