空管寬帶網多出口負載均衡設計與實現

【摘要】本文主要介紹利用策略路由等技術對東北空管局寬帶網改造，實現網絡多出口的負載均衡和鏈路冗余功能。

【關鍵詞】策略路由靜態路由NAT

東北空管局寬帶網現有2000多戶，共有3條網絡出口，總帶寬500M，由于僅有1臺出口防火墻承擔安全防護、地址轉換和路由選擇等多項任務，負擔較重，且存在單點故障隱患，經常出現負載不均衡現象，造成個別出口訪問擁堵，用戶上網體驗差，嚴重影響服務質量。針對以上存在的問題，我局于2012年初，基于路由協議對空管寬帶網進行了改造，使其具有雙出口防火墻實現安全防護以及自動選路功能。

1空管寬帶網系統介紹

空管寬帶網系統結構分為核心層、匯聚層、接入層，采用雙出口、單核心、單匯聚、單鏈路的星型結構設計；網絡主干采用千兆連接，接入層采用百兆上聯；兩臺出口防火墻實現安全防護以及自動選路功能。網絡核心拓撲圖如圖1所示。

該系統三級網絡結構，網絡結構清晰合理，核心層華為NE40萬兆多業務路由器用于網絡數據交換和路由選擇，配置千兆光接口用于連接匯聚層交換機、防火墻及BAS設備。NE40與防火墻之間，通過配置靜態路由的方式，分別把訪問聯通和電信的流量指向聯通和電信的防火墻，并配置默認路由分別指向兩個防火墻，其中去往電信出口的防火墻的默認路由優先級更高，優先從電信出口轉發。

網絡出口由兩臺防火墻組成，一臺USG5350防火墻連接聯通200M出口帶寬；另一臺USG5530防火墻連接100M和200M兩條電信出口。防火墻上配置nat轉換，用于內部用戶上網地址轉換成公網地址。出口帶寬按需要可隨時增加。

2空管寬帶網多出口負載均衡實現

根據現有空管寬帶網絡結構和設備實際情況出發，減少建設成本和改善網絡質量為基礎，結合靜態路由、策略路由和默認路由等技術，成功實現空管寬帶網多出口的負載均衡和鏈路冗余功能，現結合路由技術介紹設計思路。

（1）靜態路由

我局寬帶網有三條出口帶寬，由于我國存在電信、聯通運營商彼此互連不互通的跨網瓶頸，為了使訪問電信的用戶走電信防火墻，使訪問聯通的用戶走聯通防火墻，我們在NE40E與防火墻之間，通過配置靜態路由的方式，分別把訪問聯通和電信的流量指向聯通和電信的防火墻，并配置默認路由分別指向兩個防火墻。其中，去往電信出口的防火墻的默認路由優先級更高，優先從電信出口轉發。增加默認路由的好處是在電信或聯通其中某條線路中斷，所有路由將自動轉到另一條線路上，而不影響整網的訪問。

（2）策略路由

由于我局電信防火墻上有兩條出口，分別為100M和200M出口，為了使這兩條出口實現負載均衡，我們在USG5530防火墻上采用了策略路由技術來實現多出口的負載均衡。

首先把寬帶網的用戶按ip劃分成兩組，組1: 172.17.8.0 0.0.7.255。組2：172.17.16.0 0.0.7.255

a、正常情況下組1從出口200M出口NAT轉化成59.46.83.98的地址，組2從出口100M出口NAT轉化成59.44.39.114的地址，實現負載均衡。

b、USG5530雙出口的某一條鏈路down，所有用戶NAT成同一地址段出去，實現鏈路冗余。

c、正常路由順序為先策略路由，然后默認路由，再執行地址轉換規則。

具體配置說明入下：

步驟1配置100M出口地址池tel1

ip address-set tel1 type object //建立一個tel1的地址池

address 0 172.17.16.0 mask 21 //把172.17.16.0的地址段加入tel1地址池中

步驟2配置接口IP地址并將接口加入對應安全區域

#配置接口5為電信200M出口IP地址

interface GigabitEthernet0/0/5

ip address 59.46.83.98 255.255.255.240

#配置接口7為電信100M出口IP地址

interface GigabitEthernet0/0/7

ip address 59.44.39.114 255.255.255.240

#配置接口6為連接內部核心路由器NE40IP地址

interface GigabitEthernet0/0/6

ip address 172.17.1.13 255.255.255.252

#配置接口加入相應安全區域

把接口6加入名為trust的信任區域

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/6

把接口5加入名為untrust的不信任區域

firewall zone untrust

set priority 5

add interface GigabitEthernet0/0/5

把接口8加入名為m100的不信任區域

firewall zone name m100

set priority 11

add interface GigabitEthernet0/0/8

步驟3配置策略路由

acl number 2001 //建立訪問控制列表2001

rule 5 permit source address-set tel1 //匹配源地址為tel1地址池的報文

#定義名為tel的5號節點，使源地址為tel1地址池的報文被發到下一跳電信100M出口

policy-based-route tel permit node 5

if-match acl 2001

apply ip-address next-hop 59.44.39.113

#在接口6上應用定義的策略tel，處理此接口接收的報文

interface GigabitEthernet0/0/6

ip policy-based-route tel

3小結

東北空管局寬帶網經過改造后，目前運行平穩，網絡負載均衡，用戶體驗明顯改善，在幾次出口鏈路意外中斷的情況下，路由自動切換，沒有造成網絡中斷的現象。實踐證明只要合理利用靜態路由、策略路由和默認路由技術，可以實現網絡多出口的負載均衡和鏈路冗余。