多運(yùn)營商出口校園網(wǎng)邊界防火墻配置策略

周軍宏

摘要：本文分析了多運(yùn)營商出口鏈路校園網(wǎng)邊界防火墻流量轉(zhuǎn)發(fā)可能會出現(xiàn)的問題，并提出了具體的解決機(jī)制，以提高出口帶寬利用率，保證用戶網(wǎng)絡(luò)訪問體驗(yàn)。

關(guān)鍵詞：多運(yùn)營商出口；鏈路權(quán)重；DNS代理；運(yùn)營商路由

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）33-0058-01

隨著學(xué)校信息化建設(shè)不斷推進(jìn)，學(xué)校網(wǎng)絡(luò)主干完成了從千兆到萬兆升級，共有4條互聯(lián)網(wǎng)出口鏈路，電信、聯(lián)通、移動(dòng)3條1G出口鏈路及教育網(wǎng)10M出口鏈路，后期教育網(wǎng)出口將擴(kuò)容到100M。如何在多運(yùn)營商出口環(huán)境下，通過合理的策略機(jī)制安排，提高鏈路利用率，保證用戶訪問體驗(yàn)，是一個(gè)值得探討的問題。普通路由和策略路由結(jié)合的傳統(tǒng)方法只能在一定程度上解決上述問題，但過于復(fù)雜、存在不足。當(dāng)前主流邊界防火墻支持智能選路功能，本文結(jié)合學(xué)校具體情況，談?wù)勗谶@方面的一些經(jīng)驗(yàn)。

1 希望達(dá)到目標(biāo)

運(yùn)營商鏈路帶寬能被充分利用；訪問運(yùn)營商資源不用繞路，即訪問運(yùn)營商資源與鏈路出口一致；外網(wǎng)用戶訪問學(xué)校網(wǎng)站不用繞路教育網(wǎng)。

2 問題分析

1）出口流量沒選對路。當(dāng)校園網(wǎng)絡(luò)出口有多家運(yùn)營商鏈路時(shí)， 如果采用傳統(tǒng)等價(jià)路由的辦法將平均分配流量到這些出口鏈路上，就會出現(xiàn)跨運(yùn)營商訪問的情況，即鏈路和訪問內(nèi)容所屬的運(yùn)營商不一致，而各個(gè)運(yùn)營商之間網(wǎng)絡(luò)互訪很慢，就會出現(xiàn)用戶上網(wǎng)速度慢的情況。

2）出口流量沒選好路。三家運(yùn)營商的鏈路質(zhì)量有差別，電信最好、聯(lián)通次之、移動(dòng)最差，用戶流量要盡可能引導(dǎo)到電信出口鏈路上。

3）單一DNS服務(wù)器設(shè)定導(dǎo)致流量分配不科學(xué)。DNS域名解析是用戶上網(wǎng)、流量發(fā)起的第一步，如果單純用某一運(yùn)營商DNS服務(wù)器解析，用戶獲得的資源地址就會集中在該運(yùn)營商網(wǎng)內(nèi)。如果用戶流量再從其他運(yùn)營商鏈路轉(zhuǎn)發(fā)，就會繞路，如果用戶流量從該運(yùn)營商轉(zhuǎn)發(fā)，就會流量都集中在該鏈路，不利于其他鏈路充分利用、或?qū)е略撴溌妨髁恳绯觥?/p>

4）學(xué)校網(wǎng)站是edu域名，對應(yīng)公網(wǎng)地址是教育網(wǎng)地址，互聯(lián)網(wǎng)用戶訪問學(xué)校網(wǎng)站要從運(yùn)營商網(wǎng)絡(luò)繞道教育網(wǎng)，網(wǎng)絡(luò)延時(shí)增大，影響用戶體驗(yàn)。

3解決機(jī)制

3.1對網(wǎng)絡(luò)出口流量基于鏈路權(quán)重選路

根據(jù)出口鏈路帶寬大小、鏈路質(zhì)量等具體情況制定合適的鏈路權(quán)重比例，引導(dǎo)流量優(yōu)先走轉(zhuǎn)發(fā)性能最高鏈路，也不閑置性能稍差的鏈路，保證用戶訪問體驗(yàn)。比如，電信、聯(lián)通、移動(dòng)三家?guī)挾际?000M，可以設(shè)定權(quán)重比例為6：3：1。權(quán)重比例可以在后期根據(jù)實(shí)際流量情況進(jìn)行調(diào)整。需要注意的是，要防止某條鏈路流量過大出現(xiàn)帶寬溢出的情況，可以給每條鏈路設(shè)定一個(gè)閥值，當(dāng)某條出口鏈路流量到達(dá)閥值時(shí)，后續(xù)流量就不再轉(zhuǎn)發(fā)，而由其他流量未達(dá)閥值的鏈路承擔(dān)。

3.2啟用DNS代理、DNS報(bào)文負(fù)載分擔(dān)、運(yùn)營商選路功能

根據(jù)多個(gè)運(yùn)營商鏈路帶寬、質(zhì)量設(shè)定鏈路權(quán)重，策略路由按權(quán)重在不通運(yùn)營商鏈路進(jìn)行DNS報(bào)文負(fù)載分擔(dān)，同時(shí)對向外發(fā)起的DNS報(bào)文做代理，即A運(yùn)營商鏈路轉(zhuǎn)發(fā)的DNS報(bào)文訪問A運(yùn)營商DNS服務(wù)器，B運(yùn)營商鏈路轉(zhuǎn)發(fā)的DNS報(bào)文訪問B運(yùn)營商DNS服務(wù)器。這樣DNS解析返回的資源地址也在各運(yùn)營商之間做了一次分擔(dān)。

所謂運(yùn)營商路由是根據(jù)運(yùn)營商地址庫生成的靜態(tài)路由，引導(dǎo)業(yè)務(wù)報(bào)文在不同運(yùn)營商鏈路出口轉(zhuǎn)發(fā)，這樣業(yè)務(wù)報(bào)文也會在對應(yīng)運(yùn)營商鏈路之間進(jìn)行負(fù)載分擔(dān)，鏈路帶寬能得到充分利用。運(yùn)營商路由根據(jù)運(yùn)營商地址庫生成、要注意對運(yùn)營商地址的收集整理、并定期更新。

3.3開啟智能DNS功能

在邊界實(shí)時(shí)捕獲DNS解析響應(yīng)報(bào)文，根據(jù)入口流量鏈路所屬運(yùn)營商，將服務(wù)器IP地址解析為與訪問用戶相同運(yùn)營商的地址，并啟用相應(yīng)的服務(wù)器NAT映射，這樣就能實(shí)現(xiàn)互聯(lián)網(wǎng)用戶訪問學(xué)校網(wǎng)站不用再繞路，即電信用戶通過電信網(wǎng)絡(luò)訪問學(xué)校網(wǎng)站、移動(dòng)用戶通過移動(dòng)網(wǎng)絡(luò)訪問學(xué)校網(wǎng)站，當(dāng)然上述對外映射公網(wǎng)地址需要跟網(wǎng)站一起備案，并開通其80端口。

4 總結(jié)

上述3點(diǎn)內(nèi)容是邊界設(shè)備選路的幾種主要機(jī)制，當(dāng)前主流邊界網(wǎng)關(guān)或防火墻都具備上述功能。在現(xiàn)網(wǎng)情況下，只有靈活運(yùn)用這幾種相關(guān)機(jī)制，并根據(jù)具體情況形成組合策略，這樣才能最大限度降低網(wǎng)絡(luò)延遲，保障用戶體驗(yàn)。

參考文獻(xiàn)：

[1] 王世鋒.校園網(wǎng)多出口環(huán)境下的路由策略研究與應(yīng)用[J].計(jì)算機(jī)時(shí)代，2014（3）.

[2] 華為.USG6000系列防火墻產(chǎn)品技術(shù)白皮書.