基于SLA雙鏈路負(fù)載分擔(dān)與智能切換的鏈路安全仿真分析

◆周 俊 歐陽(yáng)維敏 趙 倩 張 超

?

基于SLA雙鏈路負(fù)載分擔(dān)與智能切換的鏈路安全仿真分析

◆周 俊 歐陽(yáng)維敏 趙 倩 張 超

（四川省人事人才考試測(cè)評(píng)基地 四川 610000）

為了解決實(shí)際工作中雙鏈路間的互聯(lián)互通問(wèn)題，通信運(yùn)營(yíng)商之間新一輪的競(jìng)爭(zhēng)逐漸由技術(shù)轉(zhuǎn)向服務(wù)，由此服務(wù)提供商和消費(fèi)者雙方協(xié)商的服務(wù)等級(jí)協(xié)議SLA（Service Level Agreement，服務(wù)等級(jí)協(xié)議）受到越來(lái)越多人的關(guān)注，并且已經(jīng)開(kāi)始運(yùn)用到各種場(chǎng)景，保證出口鏈路的高可用性和訪問(wèn)效率。SLA要發(fā)揮更大的作用，還需要進(jìn)一步的研究和提高，結(jié)合多鏈路負(fù)載分擔(dān)技術(shù)，比如電信和聯(lián)通雙鏈路雙向流量按照預(yù)設(shè)的算法分擔(dān)到不同的鏈路上，一旦某一條鏈路出現(xiàn)故障，能夠智能切換到另一條可用鏈路上。這樣便實(shí)現(xiàn)了鏈路負(fù)載分擔(dān)和智能切換，從電信來(lái)的流量走電信線路回去，從聯(lián)通來(lái)的流量走聯(lián)通線路回去，當(dāng)其中一條鏈路出現(xiàn)故障時(shí)，所有的流量從沒(méi)有出現(xiàn)故障的線路走。

SLA；負(fù)載分擔(dān)；智能切換；鏈路安全；GNS3；仿真分析

0 引言

當(dāng)前，隨著互聯(lián)網(wǎng)業(yè)務(wù)的大幅攀升，用戶大量的信息請(qǐng)求，不斷更新的應(yīng)用需求以及對(duì)業(yè)務(wù)不間斷的持續(xù)訪問(wèn)，成為應(yīng)用服務(wù)商解決互聯(lián)網(wǎng)服務(wù)，獲得用戶認(rèn)可的關(guān)鍵因素，因此提高服務(wù)品質(zhì)和客戶滿意度已成為通信運(yùn)營(yíng)商在競(jìng)爭(zhēng)中取勝的一個(gè)重要籌碼，SLA服務(wù)模式應(yīng)運(yùn)而生。SLA是服務(wù)提供商和客戶通過(guò)協(xié)商，在服務(wù)品質(zhì)、優(yōu)先權(quán)和責(zé)任義務(wù)等方面達(dá)成的協(xié)定，用來(lái)保證可度量的網(wǎng)絡(luò)性能達(dá)到所定義的品質(zhì)，具有法律效力。

即使按照當(dāng)時(shí)最優(yōu)條件配置建設(shè)的網(wǎng)絡(luò)，面對(duì)不間斷、快速的用戶增長(zhǎng)，鏈路也會(huì)無(wú)法承擔(dān)。原有鏈路也會(huì)因?yàn)橛脩袅康牟粩嘣龃髮?dǎo)致用戶訪問(wèn)速度過(guò)慢，鏈路擁塞，網(wǎng)絡(luò)故障頻繁，尤其是各個(gè)網(wǎng)絡(luò)的核心部分，其數(shù)據(jù)流量和計(jì)算強(qiáng)度之大，使得單一設(shè)備根本無(wú)法承擔(dān)，大多數(shù)單位會(huì)選擇向兩個(gè)Internet 服務(wù)提供商同時(shí)租用互聯(lián)網(wǎng)線路，擁有兩條互聯(lián)網(wǎng)連接鏈路來(lái)解決上述問(wèn)題。而如何在完成同樣功能的雙鏈路及網(wǎng)絡(luò)設(shè)備之間實(shí)現(xiàn)合理的業(yè)務(wù)量分配，使之不至于出現(xiàn)某一臺(tái)設(shè)備故障，導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓的情況，這就成當(dāng)前必須克服的問(wèn)題，負(fù)載分擔(dān)與智能切換機(jī)制也因此應(yīng)運(yùn)而生。本文將重點(diǎn)討論雙鏈路負(fù)載分擔(dān)與智能切換在建設(shè)高負(fù)載網(wǎng)絡(luò)方面的應(yīng)用，以提高其穩(wěn)定性和高效性，保障鏈路安全可靠。

1 分析問(wèn)題

隨著Internet應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，以及專線接入價(jià)格的不斷下調(diào)，企事業(yè)單位網(wǎng)絡(luò)對(duì)內(nèi)和對(duì)外訪問(wèn)業(yè)務(wù)需求也隨著網(wǎng)絡(luò)通信的不斷發(fā)展變得更加多樣化，核心網(wǎng)絡(luò)針對(duì)鏈路的要求也越來(lái)越嚴(yán)格，如何充分利用現(xiàn)有網(wǎng)絡(luò)設(shè)備和鏈路資源，平衡鏈路利用率，提高訪問(wèn)速度，確保內(nèi)部和外部的不間斷訪問(wèn)以及鏈路服務(wù)的正常運(yùn)轉(zhuǎn)和切換，已經(jīng)成為企事業(yè)單位網(wǎng)絡(luò)鏈路控制的首要難題。只有一條鏈路連接公共網(wǎng)絡(luò)將導(dǎo)致單點(diǎn)失敗和網(wǎng)絡(luò)極其脆弱，目前日益增多的企事業(yè)單位為了保證自己各個(gè)部門之間、供應(yīng)商和客戶之間可靠的Internet訪問(wèn)，都逐步采用多個(gè)接入ISP鏈路，通用單鏈路系統(tǒng)拓?fù)鋱D，如圖1所示。

保證ISP鏈路接入的穩(wěn)定性對(duì)于一家單位來(lái)說(shuō)是非常重要的。現(xiàn)在絕大多數(shù)的單位都采用一條ISP鏈路接入，也就是說(shuō)使用一條ISP鏈路。顯然，一條ISP無(wú)法保證它提供的Internet鏈路的持續(xù)可用性，從而可能導(dǎo)致單位WAN接入的中斷，而一個(gè)單位的Internet接入的中斷則意味著高額的損失。

為了保證出口鏈路的高可用性和訪問(wèn)效率，計(jì)劃接入兩條ISP鏈路，實(shí)現(xiàn)雙鏈路自動(dòng)切換，為外網(wǎng)及內(nèi)網(wǎng)用戶提供7*24小時(shí)的不間斷訪問(wèn)。當(dāng)其中一條鏈路出現(xiàn)問(wèn)題后，系統(tǒng)自動(dòng)切換到正常的鏈路上工作，保證服務(wù)的不間斷運(yùn)行。由于多鏈路解決方案能夠提供更好的可用性和帶寬性能，它正在被越來(lái)越多的單位所采用。可用性的提高來(lái)自于多條鏈路的使用，而性能提高則是因?yàn)橥瑫r(shí)使用多條鏈路增加了帶寬擴(kuò)充了流量。多鏈路方案能夠提高單位業(yè)務(wù)的可用性和性能，但這種方案也面臨著特殊的問(wèn)題和挑戰(zhàn)。（雙向流量按照預(yù)設(shè)的算法分擔(dān)到不同的鏈路上，一旦一條鏈路不通的情況下，能夠無(wú)縫切換到另外一條可用鏈路上）；所以基于以上的問(wèn)題，雙鏈路負(fù)載分擔(dān)和智能切換也解決了目前廣泛存在的多個(gè)ISP之間的互聯(lián)互通問(wèn)題。

圖1 通用單鏈路系統(tǒng)拓?fù)鋱D

2　構(gòu)建虛擬網(wǎng)絡(luò)實(shí)驗(yàn)

2.1 SLA的簡(jiǎn)述

SLA：意思是服務(wù)品質(zhì)保障協(xié)議。是關(guān)于網(wǎng)絡(luò)服務(wù)供應(yīng)商和客戶間的一份合同，用來(lái)保證可計(jì)量的網(wǎng)絡(luò)性能達(dá)到所定義的品質(zhì)，是一種網(wǎng)絡(luò)檢測(cè)監(jiān)控工具，通過(guò)定期發(fā)送指定協(xié)議的報(bào)文來(lái)達(dá)到檢測(cè)和監(jiān)控網(wǎng)絡(luò)通信情況的目的。根據(jù)報(bào)文在網(wǎng)絡(luò)中的傳輸情況生成報(bào)告，因此又稱為RTR（Response Time Reporter）即響應(yīng)時(shí)間報(bào)告器。SLA為服務(wù)提供者提供了一種在當(dāng)今多變而又競(jìng)爭(zhēng)激烈的市場(chǎng)中勝過(guò)對(duì)手的方法。本文服務(wù)提供者是一個(gè)因特網(wǎng)服務(wù)提供者（ISP）。SLA結(jié)構(gòu)圖如圖2所示：

圖2 SLA結(jié)構(gòu)圖

2.2 SLA的必要性

SLA 的目標(biāo)是營(yíng)造網(wǎng)絡(luò)運(yùn)營(yíng)健康發(fā)展的生態(tài)環(huán)境，讓用戶享受到的不僅僅是一種口頭承諾的服務(wù)，而是受到法規(guī)約束，權(quán)益獲得有效保障的服務(wù)。成熟的電信運(yùn)營(yíng)商通過(guò)SLA 可以建立忠實(shí)穩(wěn)定的大用戶；而新興的電信運(yùn)營(yíng)商則可以借此來(lái)吸引用戶，贏得競(jìng)爭(zhēng)優(yōu)勢(shì)。雖然開(kāi)展SLA有著現(xiàn)實(shí)的必要性，但國(guó)內(nèi)運(yùn)營(yíng)商并未普遍地開(kāi)展SLA服務(wù)，目前只有部分運(yùn)營(yíng)商在少數(shù)業(yè)務(wù)的開(kāi)展過(guò)程中提供了SLA的服務(wù)方式。為何中國(guó)電信、中國(guó)聯(lián)通等大運(yùn)營(yíng)商未普遍開(kāi)展SLA呢？主要是各大運(yùn)營(yíng)商還未從壟斷式經(jīng)營(yíng)轉(zhuǎn)向服務(wù)型經(jīng)營(yíng)，其次是復(fù)雜的網(wǎng)絡(luò)環(huán)境導(dǎo)致技術(shù)創(chuàng)新緩慢，新技術(shù)推廣與實(shí)施還需要大量的投入。

新的電信業(yè)務(wù)開(kāi)展方式，與壟斷經(jīng)營(yíng)時(shí)期的經(jīng)營(yíng)方式已經(jīng)有了很大的差別，運(yùn)營(yíng)商與客戶的關(guān)系已經(jīng)不再是單純的雙方之間的關(guān)系。很多業(yè)務(wù)涉及到第三方服務(wù)提供商、客戶和運(yùn)營(yíng)商，他們之間已經(jīng)形成了一種多方的價(jià)值鏈關(guān)系。

2.3雙鏈路負(fù)載分擔(dān)、智能切換

在雙鏈路的出口環(huán)境下，雖然可以通過(guò)部署負(fù)載均衡設(shè)備來(lái)克服傳統(tǒng)出口路由器防火墻靜態(tài)策略轉(zhuǎn)發(fā)數(shù)據(jù)流的不靈活性，智能DNS功能提升了對(duì)外業(yè)務(wù)系統(tǒng)的訪問(wèn)效率，帶寬利用率也提升了近50%，鏈路負(fù)載均衡讓網(wǎng)絡(luò)出口更高效、更可靠和更智能，但是也給中小型單位帶來(lái)了高額的資金預(yù)算，在不得不面對(duì)的現(xiàn)實(shí)面前，我們必須還得考慮現(xiàn)有設(shè)備的升級(jí)改造。之前做的雙出口都是路由備份，空閑其中一條鏈路，沒(méi)做過(guò)負(fù)載分擔(dān)的雙鏈路。本文通過(guò)模擬器搭建虛擬實(shí)驗(yàn)環(huán)境，模擬雙出口均衡，把防火墻上的多運(yùn)營(yíng)商的IP地址做SLA配置，分別走不同的鏈路，實(shí)現(xiàn)鏈路負(fù)載分擔(dān)和智能切換，從電信來(lái)的流量走電信鏈路回去，從聯(lián)通來(lái)的流量走聯(lián)通線路回去，如果其中某一條鏈路出現(xiàn)故障，所有流量都從沒(méi)有出現(xiàn)故障的鏈路出去，從而實(shí)現(xiàn)虛擬的雙鏈路負(fù)載分擔(dān)和智能切換。

2.4仿真分析

（1）搭建網(wǎng)絡(luò)環(huán)境

按圖3所示的網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)搭建網(wǎng)絡(luò)，在安裝好的GNS3中配置好相應(yīng)參數(shù)并添加相應(yīng)型號(hào)的防火墻、路由器的IOS，并進(jìn)行IDLE的計(jì)算，選擇好的IDLE的值即可。在此實(shí)驗(yàn)中，選擇的防火墻是Cisco ASA5520，通過(guò)路由器R1的環(huán)回接口L125模擬ISP1、L119模擬ISP2。

圖3網(wǎng)絡(luò)拓?fù)鋱D

（2）SLA核心配置命令

sla monitor 1

type echo protocol ipIcmpEcho 125.10.30.22 interface Outside

frequency 10

sla monitor schedule 1 life forever start-time now

sla monitor 2

type echo protocol ipIcmpEcho 119.10.30.33 interface BK

frequency 10

sla monitor schedule 2 life forever start-time now

track 1 rtr 1 reachability

track 2 rtr 2 reachability

3　實(shí)驗(yàn)結(jié)論

（1）默認(rèn)情況，到電信的流量走電信出口，到聯(lián)通的流量走聯(lián)通出口。

R1#traceroute 125.10.30.18 source l119

Tracing the route to 125.10.30.18

1 125.10.20.22 48 msec 12 msec 8 msec

2 125.10.30.8 244 msec* *

3 125.10.30.18 1068 msec 644 msec 956 msec

R1#traceroute 119.10.30.18 source l119

Tracing the route to 119.10.30.18

1 119.10.20.33 132 msec 92 msec 100 msec

2 * 119.10.30.8 600 msec *

119.10.30.18 624 msec 640 msec 364 msec

（2）聯(lián)通線路不正常，去電信和網(wǎng)通的流量都走電信。

R1#traceroute 125.10.30.18 source l125

Tracing the route to 125.10.30.18

1 125.10.20.22 12 msec 100 msec 100 msec

2 * 125.10.30.8 96 msec *

3 125.10.30.18 172 msec 444 msec 472 msec

R1#traceroute 119.10.30.18 source l125

Tracing the route to 119.10.30.18

1 125.10.20.22 16 msec 28 msec 72 msec

2 * * *

3 119.10.30.18 420 msec 196 msec 176 msec

（3）電信線路不正常，去電信和聯(lián)通的流量都走聯(lián)通。

R1#traceroute 125.10.30.18 source l119

Tracing the route to 125.10.30.18

1 119.10.20.33 36 msec 76 msec 132 msec

2 119.10.30.8 296 msec* *

3 125.10.30.18 324 msec 472 msec 292 msec

R1#traceroute 119.10.30.18 source l125

Tracing the route to 119.10.30.18

1 119.10.20.33 32 msec 132 msec 100 msec

2 119.10.30.8 392 msec* *

3 119.10.30.18 912 msec 304 msec 296 msec

4 結(jié)束語(yǔ)

通過(guò)上述實(shí)驗(yàn)可以解決實(shí)際工作中經(jīng)常碰到用ASA接兩家ISP線路，比如電信和聯(lián)通，沒(méi)有足夠的預(yù)算買負(fù)載均衡設(shè)備，但是又想實(shí)現(xiàn)鏈路負(fù)載分擔(dān)和自動(dòng)切換，從電信來(lái)的流量，從電信線路回去，從聯(lián)通來(lái)的流量從聯(lián)通線路回去，當(dāng)其中一條線路出現(xiàn)故障時(shí)，所有的流量從沒(méi)有出現(xiàn)故障線路走。現(xiàn)有的網(wǎng)絡(luò)優(yōu)化問(wèn)題，通過(guò)現(xiàn)有設(shè)備達(dá)到鏈路負(fù)載均衡的效果，可以解決鏈路故障、自動(dòng)切換鏈路，避免了因?yàn)閱捂溌饭收蠈?dǎo)致的整個(gè)鏈路的中斷問(wèn)題。這樣不但解決了單點(diǎn)隱患，而且保障了鏈路的安全穩(wěn)定，從一定程度上可以解決因經(jīng)費(fèi)困難而造成鏈路單點(diǎn)隱患的問(wèn)題。通過(guò)在ASA上配置SLA來(lái)實(shí)現(xiàn)智能切換，不但可以充分發(fā)揮ASA的性能，而且避免了由于某一條鏈路故障問(wèn)題而導(dǎo)致整個(gè)網(wǎng)絡(luò)出現(xiàn)故障。

[1]Chappell L A，Tittel E，馬海軍，吳華譯.TCP /IP 協(xié)議原理與應(yīng)用[M].北京:清華大學(xué)出版社，2005.

[2]梁發(fā)洵GN.S3 在網(wǎng)絡(luò)實(shí)驗(yàn)中的應(yīng)用[J].電腦與電信，2010．

[3]劉玉軍.現(xiàn)代網(wǎng)絡(luò)系統(tǒng)原理與技術(shù)[M].北京:清華大學(xué)出版社，2007.

[4]張若英，邱雪松，孟洛明.SLA 的表示方法和應(yīng)用[J]. 北京郵電大學(xué)學(xué)報(bào)，2003.

[5]TMF GB 917-2 v2. 5 -2005 , SLA management hand book-volume concepts and principles[ S]，2005.

[6]Evans J,Filsfils C .Deploying Diffserv at the Network Edge for Tight SLA ,Part2[J].IEEE Internet C om putting，2004.

[7]張挺.IP網(wǎng)絡(luò)的SLA服務(wù)等級(jí)協(xié)議探討.江蘇通信技術(shù)，2006.

[8]中國(guó)聯(lián)通OTA卡技術(shù)規(guī)范.第二部分:支持OTA下載的STK卡技術(shù)規(guī)范，2006.