空管寬帶網(wǎng)多出口負載均衡設計與實現(xiàn)

【摘要】本文主要介紹利用策略路由等技術對東北空管局寬帶網(wǎng)改造，實現(xiàn)網(wǎng)絡多出口的負載均衡和鏈路冗余功能。

【關鍵詞】策略路由靜態(tài)路由NAT

東北空管局寬帶網(wǎng)現(xiàn)有2000多戶，共有3條網(wǎng)絡出口，總帶寬500M，由于僅有1臺出口防火墻承擔安全防護、地址轉換和路由選擇等多項任務，負擔較重，且存在單點故障隱患，經(jīng)常出現(xiàn)負載不均衡現(xiàn)象，造成個別出口訪問擁堵，用戶上網(wǎng)體驗差，嚴重影響服務質量。針對以上存在的問題，我局于2012年初，基于路由協(xié)議對空管寬帶網(wǎng)進行了改造，使其具有雙出口防火墻實現(xiàn)安全防護以及自動選路功能。

1空管寬帶網(wǎng)系統(tǒng)介紹

空管寬帶網(wǎng)系統(tǒng)結構分為核心層、匯聚層、接入層，采用雙出口、單核心、單匯聚、單鏈路的星型結構設計；網(wǎng)絡主干采用千兆連接，接入層采用百兆上聯(lián)；兩臺出口防火墻實現(xiàn)安全防護以及自動選路功能。網(wǎng)絡核心拓撲圖如圖1所示。

該系統(tǒng)三級網(wǎng)絡結構，網(wǎng)絡結構清晰合理，核心層華為NE40萬兆多業(yè)務路由器用于網(wǎng)絡數(shù)據(jù)交換和路由選擇，配置千兆光接口用于連接匯聚層交換機、防火墻及BAS設備。NE40與防火墻之間，通過配置靜態(tài)路由的方式，分別把訪問聯(lián)通和電信的流量指向聯(lián)通和電信的防火墻，并配置默認路由分別指向兩個防火墻，其中去往電信出口的防火墻的默認路由優(yōu)先級更高，優(yōu)先從電信出口轉發(fā)。

網(wǎng)絡出口由兩臺防火墻組成，一臺USG5350防火墻連接聯(lián)通200M出口帶寬；另一臺USG5530防火墻連接100M和200M兩條電信出口。防火墻上配置nat轉換，用于內(nèi)部用戶上網(wǎng)地址轉換成公網(wǎng)地址。出口帶寬按需要可隨時增加。

2空管寬帶網(wǎng)多出口負載均衡實現(xiàn)

根據(jù)現(xiàn)有空管寬帶網(wǎng)絡結構和設備實際情況出發(fā)，減少建設成本和改善網(wǎng)絡質量為基礎，結合靜態(tài)路由、策略路由和默認路由等技術，成功實現(xiàn)空管寬帶網(wǎng)多出口的負載均衡和鏈路冗余功能，現(xiàn)結合路由技術介紹設計思路。

（1）靜態(tài)路由

我局寬帶網(wǎng)有三條出口帶寬，由于我國存在電信、聯(lián)通運營商彼此互連不互通的跨網(wǎng)瓶頸，為了使訪問電信的用戶走電信防火墻，使訪問聯(lián)通的用戶走聯(lián)通防火墻，我們在NE40E與防火墻之間，通過配置靜態(tài)路由的方式，分別把訪問聯(lián)通和電信的流量指向聯(lián)通和電信的防火墻，并配置默認路由分別指向兩個防火墻。其中，去往電信出口的防火墻的默認路由優(yōu)先級更高，優(yōu)先從電信出口轉發(fā)。增加默認路由的好處是在電信或聯(lián)通其中某條線路中斷，所有路由將自動轉到另一條線路上，而不影響整網(wǎng)的訪問。

（2）策略路由

由于我局電信防火墻上有兩條出口，分別為100M和200M出口，為了使這兩條出口實現(xiàn)負載均衡，我們在USG5530防火墻上采用了策略路由技術來實現(xiàn)多出口的負載均衡。

首先把寬帶網(wǎng)的用戶按ip劃分成兩組，組1: 172.17.8.0 0.0.7.255。組2：172.17.16.0 0.0.7.255

a、正常情況下組1從出口200M出口NAT轉化成59.46.83.98的地址，組2從出口100M出口NAT轉化成59.44.39.114的地址，實現(xiàn)負載均衡。

b、USG5530雙出口的某一條鏈路down，所有用戶NAT成同一地址段出去，實現(xiàn)鏈路冗余。

c、正常路由順序為先策略路由，然后默認路由，再執(zhí)行地址轉換規(guī)則。

具體配置說明入下：

步驟1配置100M出口地址池tel1

ip address-set tel1 type object //建立一個tel1的地址池

address 0 172.17.16.0 mask 21 //把172.17.16.0的地址段加入tel1地址池中

步驟2配置接口IP地址并將接口加入對應安全區(qū)域

#配置接口5為電信200M出口IP地址

interface GigabitEthernet0/0/5

ip address 59.46.83.98 255.255.255.240

#配置接口7為電信100M出口IP地址

interface GigabitEthernet0/0/7

ip address 59.44.39.114 255.255.255.240

#配置接口6為連接內(nèi)部核心路由器NE40IP地址

interface GigabitEthernet0/0/6

ip address 172.17.1.13 255.255.255.252

#配置接口加入相應安全區(qū)域

把接口6加入名為trust的信任區(qū)域

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/6

把接口5加入名為untrust的不信任區(qū)域

firewall zone untrust

set priority 5

add interface GigabitEthernet0/0/5

把接口8加入名為m100的不信任區(qū)域

firewall zone name m100

set priority 11

add interface GigabitEthernet0/0/8

步驟3配置策略路由

acl number 2001 //建立訪問控制列表2001

rule 5 permit source address-set tel1 //匹配源地址為tel1地址池的報文

#定義名為tel的5號節(jié)點，使源地址為tel1地址池的報文被發(fā)到下一跳電信100M出口

policy-based-route tel permit node 5

if-match acl 2001

apply ip-address next-hop 59.44.39.113

#在接口6上應用定義的策略tel，處理此接口接收的報文

interface GigabitEthernet0/0/6

ip policy-based-route tel

3小結

東北空管局寬帶網(wǎng)經(jīng)過改造后，目前運行平穩(wěn)，網(wǎng)絡負載均衡，用戶體驗明顯改善，在幾次出口鏈路意外中斷的情況下，路由自動切換，沒有造成網(wǎng)絡中斷的現(xiàn)象。實踐證明只要合理利用靜態(tài)路由、策略路由和默認路由技術，可以實現(xiàn)網(wǎng)絡多出口的負載均衡和鏈路冗余。