多鏈路接入的流量控制及在校園網中的應用

王冠宇 蔡大鵬 秦愛梅

1 北京青年政治學院 北京 100102

2 北京京北職業技術學院 北京 101400

0 引言

隨著網絡用戶的不斷增加，各種網絡教育實踐活動(如遠程教學、網上招生和在線培訓考試等)的廣泛開展，各高校對網絡的應用也越來越廣泛。由于種種條件的限制，大部分高校校園網接入CERNET的出口帶寬相對較低，訪問公眾網的速度很慢。因此大部分高校校園網還另外租用一條或幾條因特網鏈路介入，如中國電信等。以北京青年政治學院為例，校園網絡共有三個應用出口，分別為 Cernet(教育科研網)、中國電信和北京教育信息網。

采用多鏈路接入的網絡結構，意味著即使其中的一條Internet鏈路或路由器發生故障，數據的傳輸仍然可以不受影響，而且到Internet的接入帶寬是每個鏈路可用帶寬的總和。當然，只有當所有的鏈路都得到應用的時候才能達到最佳性能。

圖1 多鏈路接入的典型拓撲

1 多鏈路接入方案分析比較

1.1 傳統的解決方案

圖1是一個多鏈路接入的典型拓撲。

在圖1中內部網絡到Internet有兩條接入鏈路，其中一條通過ISP1進行鏈接，而另一條則通過ISP2鏈接。其中最重要的是IP尋址機制，它通常有兩種做法。這兩種做法是根據圖1中內網使用的IP機制來配置的：

(1) 對內網指定一個惟一的IP地址段。這需要兩個ISP之間進行溝通和合作，為這個IP網段到Internet其它部分的鏈接指定正確的路由，同時必須確保這兩個鏈接都是用于輸入流量的。

(2) 每個ISP為內網分配一個不同的IP地址網段。因而，對內網來說兩個IP網段同時生效，這就存在輸入流量使用什么IP網段的問題。如果使用網段1(由ISP1分配)，若到ISP1的鏈接失敗了，那么相應的流量就失去了返回到網絡的路徑，因為網段1只能通過ISP1才可達到。同樣的原因，如果只使用了網段2，那么ISP1的鏈接就不會用于輸入流量，所以問題在于必須指出輸入流量的IP地址。如果兩個網段的地址都指定了，那么DNS(域名服務器)的故障恢復及其彈性將變成需要尋址的附加因素。

1.2 基于LinkProof流量管理設備的解決方案

采用Radware的LinkProof實現多鏈路接入網絡的解決方案，其典型拓撲圖如圖2所示。

圖2 采用LinkProof實現多鏈路接入的典型拓撲

采用 LinkProof實現多鏈路網絡的接入較傳統的方案有以下好處：(1) LinkProof可智能地管理分配給網絡的不同ISP的 IP網段；(2)對所有通過可用鏈路輸出的流量進行智能化的負載均衡，LinkProof確保了所有ISP的鏈路達到最優化狀態，同時管理用于對外流量的網段； (3) LinkProof利用Radware已被證明有效的就近性算法，綜合考慮鏈路的可用性、負載和帶寬，為對外流量選擇最佳的ISP鏈路；(4)作為智能DNS server，它可以管理流入網絡的流量，保證全部流量同時從兩條鏈路進入。就近性的算法同樣可以保證一條最佳的鏈路給對內的訪問流量。

2 基于LinkProof的流量管理在校園網中的應用

以青年政治學院為例，三出口帶寬為：cernet(2Mbps)，中國電信(100Mbps)，教育信息網(100Mbps)。校園網現有教務平臺，數字化平臺，郵件系統平臺，圖書館系統平臺，教育資源平臺和學生管理系統，各項業務并行運行。校園網中網絡應用的多樣性，造成了不同應用對帶寬、流速存在完全迥異的需求。目前多數校園網采用租用多家運營商的多條鏈路，實現鏈路層的冷備份或不完全備份。針對校園網的實際需求，采用Radware的LinkProof設備，設計了一套多鏈路接入方案，將客戶的出網流量根據不同的流量均衡策略分流到多條租用鏈路上。這樣不僅節約了租用成本，而且進一步優化了網絡性能和安全性。

由于青年政治學院的 dns中 ns服務記錄對映的地址為cernet地址，且校園網使用的域名處于二級域名edu.cn下，因此dns必須通過Cernet出口出去。去往教育信息網的流量走教育信息網出口，以內網的形式訪問速度更快。去往cernet免費地址列表中的數據包可以分別從cernet出口和教育信息網出口平分出去。其余訪問互聯網的數據包結合實際情況分別走電信和教育信息網出口。

2.1 網絡結構

為更好地闡明 LinkProof設備對流量的管理作用，實驗中選用了3家ISP的3條出口鏈路進行分流，該方案的網絡拓撲圖如圖3所示。

圖3 網絡拓撲圖

2.2 實現功能

出于對訪問速度、鏈路冗余保護等網絡實效性和安全性的考慮，該方案通過 LinkProof對流量的管理功能實現了以下的幾個要求：

(1) 需要被訪問的 Web應用服務器，其流量不通過LinkProof被分流到ISP的3條出口(也可以針對個別Web服務器啟用LinkProof對Inbound流量的管理)。

(2) 不需要被訪問的應用的出口流量，分為以下 3種情況進行分流：

① 訪問二級域名 edu.cn網內的流量保持原來路由，從Cernet網內通過，即目標地址為edu.cn網內地址的流量不指向LinkProof；

② 訪問二級域名edu.cn網外的流量通過LinkProof分流送往電信和教育信息網的兩條出口，其中部分訪問edu.cn的流量從Cernet的2M鏈路上通過，即目標地址為指定的部分edu.cn地址段的流量在LinkProof上以edu.cn的2M出口鏈路作為主用鏈路；

③ 去往教育信息網的流量走教育信息網出口，以內網的形式訪問速度更快。去往cernet免費地址列表中的數據包可以分別從cernet出口和教育信息網出口平分出去。其余訪問互聯網的數據包結合實際情況分別走電信和教育信息網出口。同時通過 LinkProof提供的輪詢算法在這兩條鏈路上實現流量的負載均衡。

如果三條ISP鏈路中的任何一條發生故障斷開，流量可以自動切換到另一條ISP鏈路上通過；例如如果電信鏈路發生故障斷開，流量可以自動切換到兩條ISP鏈路上負載均衡地通過(也可以采用最小跳數、最小時延等就近性算法計算并選擇最佳路由通過)；如果兩條ISP鏈路Cernet和電信都斷開，流量可以自動切換到教育網鏈路上通過，盡管會有擁塞現象，但應用不會完全中斷，可以在搶通時間內保障主要應用的使用。

3 結束語

總的來說，多鏈路接入已經是校園網的普遍選擇，這就對實現多鏈路流量管理的設備提出了更高的要求，方案成功實施后，既充分整合了CERNET和本地ISP的優勢資源，實現了流量的多鏈路負載均衡，又提高了網絡接入速度，增強了網絡安全性。改進后的多鏈路接入校園網具有以下優勢：

(1) 實用性和先進性。在滿足當前的多種業務和相關網絡需求的基礎上，盡可能采用更先進成熟的接入技術，提供了更高的數據傳輸能力，使整個系統具有良好的發展潛力，以適應未來業務的發展和技術升級的需要。

(2) 安全可靠性。在采用硬件備份、冗余等可靠性技術的基礎上，采用相關的軟件技術，能夠提供較強的管理機制、控制手段、事故監控和網絡安全保密等技術措施，提高了整個網絡系統的安全可靠性。

(3) 靈活性與可擴展性。具有良好的擴展性，能夠根據將來信息化不斷深入發展的需要，方便地擴展網絡接入能力。

(4) 經濟性/投資保護。資金的產出投入比達到最大值。能夠以較低的成本、較少的人員投入來維持系統運轉，提供高效能與高效益。

(5) 可管理性。有智能化、可管理的性能，能夠實現運行狀況的監控、監測，帶寬資源的合理分配、鏈路負載的動態配置、鏈路故障的快速定位和先進的分布式管理。

[1] NorthAmerica Radware Inc. LinkproofWhite Paper[EB/OL].http： //www. radware. com /content/products/lp/whtpaper/default.

[2] North America Radware Inc. Solution Architecture[EB/OL].http： //www. radware. com /content/products/lp/whtpaper/default.

[3] TEARE D.CCDA自學指南——設計Cisco互連網絡解決方案(DESGN)[M].北京：人民郵電出版社.2004.

[4] KARENW.組建 cisco多層交換網絡[M].北京：人民郵電出版社.2000.

[5] MATTHEW H B.cisco互連網絡設計[M].北京：人民郵電出版社.2000.

[6] North America Radware Inc. Radware Solutions for Enterprise Customer[EB/OL]. http： //www. radware. com /content/products/lp/whtpaper/default.