企業(yè)多ISP線路負(fù)載均衡解決方案

江明

隨著互聯(lián)網(wǎng)+的多元化不斷發(fā)展，筆者企業(yè)互聯(lián)網(wǎng)絡(luò)業(yè)務(wù)平臺應(yīng)用呈現(xiàn)出多樣化、復(fù)雜性，企業(yè)人員特別是銷售系統(tǒng)無論對內(nèi)網(wǎng)的出口需求還是對外網(wǎng)業(yè)務(wù)系統(tǒng)的發(fā)布服務(wù)等網(wǎng)絡(luò)質(zhì)量都有了更高的要求。企業(yè)開始更多地使用互聯(lián)網(wǎng)來交付其關(guān)鍵業(yè)務(wù)應(yīng)用，企業(yè)生產(chǎn)力的保證越來越多的依賴于企業(yè)IT架構(gòu)的高可靠運(yùn)行，尤其是企業(yè)數(shù)據(jù)中心關(guān)鍵業(yè)務(wù)應(yīng)用的高可用性， 與此同時，企業(yè)內(nèi)部網(wǎng)絡(luò)擁塞和流量分配不均衡的問題明顯。

【關(guān)鍵詞】負(fù)載均衡 多線路 VPN AD交互 節(jié)點

1 目前狀態(tài)

1.1 互聯(lián)網(wǎng)線路建設(shè)

目前筆者企業(yè)采用多運(yùn)營商線路接入，多運(yùn)營商線路接入可以避免由于某個運(yùn)營商線路故障導(dǎo)致企業(yè)無法訪問互聯(lián)網(wǎng)的現(xiàn)象。另外，幾乎所有的互聯(lián)網(wǎng)服務(wù)提供商都會在各運(yùn)營商的IDC機(jī)房放置服務(wù)器，這樣企業(yè)在訪問這些服務(wù)器時，可以就近訪問運(yùn)營商的服務(wù)器。目前筆者企業(yè)互聯(lián)網(wǎng)線路接入有電信、移動、聯(lián)通三條線路。

由于目前網(wǎng)絡(luò)中心機(jī)房建設(shè)在公司行政樓內(nèi)，因此從網(wǎng)絡(luò)結(jié)構(gòu)上來說，行政樓是作為網(wǎng)絡(luò)中心的，其他的辦公地址或者廠區(qū)作為網(wǎng)絡(luò)分支機(jī)構(gòu)接入到網(wǎng)絡(luò)中心，目前分支機(jī)構(gòu)的接入是采用了專線和VPN接入結(jié)合方式，另外，還有移動辦公用戶是通過SSL VPN客戶端軟件穿透互聯(lián)網(wǎng)，接入網(wǎng)絡(luò)中心的VPN設(shè)備，從而實現(xiàn)移動辦公用戶連入內(nèi)網(wǎng)的目的。

2 需求

為了提升應(yīng)用系統(tǒng)的穩(wěn)定性和可靠行，通過已經(jīng)部署多條互聯(lián)網(wǎng)鏈路以保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點故障，減少停機(jī)時間。目前需要在如下三種情況下實現(xiàn)多條鏈路的負(fù)載均衡

2.1 內(nèi)部人員外網(wǎng)瀏覽負(fù)載均衡

內(nèi)部的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)工作站在訪問互聯(lián)網(wǎng)絡(luò)的服務(wù)和網(wǎng)站時如何能夠在多條不同的鏈路中動態(tài)分配和負(fù)載均衡，即出站流量的負(fù)載均衡。

2.2 業(yè)務(wù)系統(tǒng)發(fā)布服務(wù)網(wǎng)絡(luò)負(fù)載均衡

以上注重分析考慮互聯(lián)網(wǎng)絡(luò)的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和（虛擬機(jī)）應(yīng)用系統(tǒng)時也能夠動態(tài)的在多條鏈路上平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達(dá)服務(wù)器和應(yīng)用系統(tǒng)，即入站流量的負(fù)載均衡。

3 解決方案

3.1 整體設(shè)計實施描述

綜合上述問題，經(jīng)過慎重考慮后決定使用深信服AD應(yīng)用交付解決方案來進(jìn)行解決。

對于出站流量，AD接收到流量以后，可以智能的將出站流量分配到不同的INTERNET接口，并做源地址的NAT，可以指定某一合法IP地址進(jìn)行源地址的NAT，也可以用AD的接口地址自動映射，保證數(shù)據(jù)包返回時能夠正確接收。

對于入站流量，AD分別綁定三個運(yùn)營商的公網(wǎng)地址，解析來自三個運(yùn)營商的DNS解析請求。AD不僅可以根據(jù)服務(wù)器的健康狀況和響應(yīng)速度回應(yīng)LDNS相應(yīng)的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時間判斷鏈路的好壞，并且綜合以上兩個參數(shù)回應(yīng)LDNS相應(yīng)的IP地址。

3.2 具體實施辦法

3.2.1 內(nèi)部人員外網(wǎng)瀏覽負(fù)載均衡

內(nèi)網(wǎng)（含服務(wù)器端）用戶分為五個模式，分別是大流量服務(wù)（呼叫中心、企業(yè)網(wǎng)絡(luò)大學(xué)采用云平臺，本地為應(yīng)用，需要通過對應(yīng)的網(wǎng)絡(luò)連接到供應(yīng)商所部屬的數(shù)據(jù)服務(wù)器）、基于電信線路的目的地址、基于聯(lián)通線路的目的地址、基于移動線路的目的地址和以上基于目的地址以外的目的地址目標(biāo)。

通過AD設(shè)備，我們將大流量系統(tǒng)部署線路設(shè)置從電信2線路，其他3條基于目的的線路分別對應(yīng)其ISP提供商的出口；其他的基于目的地址意外的目的地址目標(biāo)則是通過AD交付設(shè)備智能判斷最佳ISP接入口上網(wǎng)。鏈路選擇策略由原來的輪詢擬改為動態(tài)就近性即選擇最佳鏈路作為出口，既可以讓用戶用戶能充分地享受到優(yōu)化的服務(wù)和快速地響應(yīng)同時也避免當(dāng)一條線路出現(xiàn)斷點故障時造成無法上網(wǎng)的現(xiàn)象。

3.2.2 業(yè)務(wù)系統(tǒng)發(fā)布服務(wù)網(wǎng)絡(luò)負(fù)載均衡

首先需要用戶將域名的解析功能導(dǎo)向到SINFOR AD，由AD來進(jìn)行域名的解析。舉個例子來說，

具體操作步驟：

（1）在域名DNS里分別用移動、電信、聯(lián)通ISP地址解析其同一域名把DNS解析權(quán)交由AD管理分配。

（2）在AD中先設(shè)定AD DNS，當(dāng)用戶遠(yuǎn)程通過域名訪問對外發(fā)布網(wǎng)站時，逐步通過遠(yuǎn)程用戶的本地DNS服務(wù)器、根DNS服務(wù)器，最終由AD來進(jìn)行域名的解析，然后將域名解析成相應(yīng)線路的IP地址，返回給用戶。

（3）建立DNS記錄。主要是MX錄，目的是建立與發(fā)布在公網(wǎng)一樣的服務(wù)域名，外網(wǎng)用戶靶中域名后，由AD MX記錄決定采用內(nèi)網(wǎng)提供相同服務(wù)的某一個IP進(jìn)行智能響應(yīng)。

（4）在應(yīng)用負(fù)載中設(shè)定一個服務(wù)，通常為基于80端口的WEB服務(wù)。

（5）在應(yīng)用負(fù)載中設(shè)定一個IP組，其主要目的是將原先映射的IP地址改為對應(yīng)多ISP提供的IP映射拉入到IP組里，AD就會通過靜態(tài)列表或者動態(tài)判斷算法，在多挑鏈路中選擇最優(yōu)的線路。

（6）節(jié)點池代替原先的公網(wǎng)地址映射，節(jié)點策略選擇動態(tài)反饋（需要在服務(wù)器安裝snmp服務(wù)）節(jié)點狀態(tài)監(jiān)視器進(jìn)行監(jiān)視該服務(wù)，用以作為智能判斷外網(wǎng)用戶訪問時具體訪問哪臺服務(wù)器。

（7）設(shè)定虛擬服務(wù)，選擇7層服務(wù)（如果服務(wù)器運(yùn)行SQL等），用來調(diào)用之前的幾條設(shè)置條件、策略。服務(wù)選擇HTTP，選定對應(yīng)的IP組，調(diào)度方式選擇每一個請求（如果選擇首個請求的時候會出現(xiàn)當(dāng)前用戶N多會話一旦第一個訪問請求被重定向到其中某一臺服務(wù)器后，之后的所有會話請求也會直接重定向過去；如果選擇每一個請求，那么當(dāng)A機(jī)性能高的時候就定向到A機(jī)，當(dāng)前用戶繼續(xù)會話過程中B機(jī)性能超過A機(jī)，那么AD會智能重定向到B機(jī)）。

4 結(jié)束語

經(jīng)過以上方案實施后，在最大節(jié)省企業(yè)IT成本的情況下維持關(guān)鍵應(yīng)用7×24小時工作，保證業(yè)務(wù)的連續(xù)性和企業(yè)內(nèi)部用戶的滿意度。

作者單位

江蘇康緣藥業(yè)股份有限公司 江蘇連云港 222000