面向多出口的互聯網訪問方法及系統管理

中國移動通信集團江蘇有限公司鎮江分公司 劉志堅 石春磊 秦爾楠 宋嘯天

面向多出口的互聯網訪問方法及系統管理

中國移動通信集團江蘇有限公司鎮江分公司 劉志堅 石春磊 秦爾楠 宋嘯天

傳統互聯網接入方式均是通過專線接入，接入受限于現有物理傳輸資源，同時缺乏路由保護。介紹了利用多條小帶寬出口分散接，并最終匯聚成一條大帶寬出口，達到和互聯網專線接入的同等效果。

大型局域網；虛擬專用網；負載均衡器

目前大型局域網接入互聯網均是通過從運營商機房布放專線接入局域網的核心設備來實現。該方案的主要缺點是：通過專線接入的方式受限于現有物理傳輸資源，如果傳輸資源無法到達用戶核心機房，將無法接入；同時這種接入方式缺乏路由保護，如果接入的物理線路發生故障，將影響用戶的正常使用。

1 多出口互聯網訪問方案

本次主要研究利用多條小帶寬出口分散接入，最終通過技術匯聚成一條大帶寬，達到和大帶寬專線接入同等的效果。下面結合圖1，對本次研究作詳細的闡述。

該系統主要由兩部分組成：其是支持IPSec（IP安全協議）中IKE（因特網密鑰交換）v2版本的防火墻和小型寬帶路由器組成的VPN（虛擬專用網）通道，其二是智能負載均衡設備。

1.1 核心技術難點

在本方案中，最大的難點有3個：

1）如何將大量的流量分流到各個互聯網出口上，并且根據出口的狀態（通或不通）動態的調整各個出口的流量；

2）如何將訪問互聯網的流量按開通的帶寬大小均勻分配到各個出口；

3）分配到各個出口上的流量，如何能準確的送到各個出口，不會被途中的路由器轉發到其他地方。

1.2 核心技術解決方案

1.2.1 難點一解決方案

到目前為止，互聯網接入點和核心機房的VPN通道已經建立，每個出口的流量也由負載均衡器做了限制，但現在VPN通道僅僅是防火墻和邊緣路由器之間建立，如果智能負載均衡設備不知道目前已接通的VPN通道，那就無法正確地將流量指向各個出口，無法實現將大流量分散到各個出口上。為解決這個難題，我們通過IPSec中保護數據流的方式來實現，為每一個小出口定義一個需保護的數據流。

我們單獨規劃一段私網地址，每個出口一一對應一個私網地址，在邊緣路由器配置時，通過創建ACL（訪問控制列表）來定義保護的數據流，即該ACL中匹配該出口對應的私網地址，同時在IPSec的安全策略中引用該ACL。這樣當邊緣路由器和核心防火墻建立IPSec的VPN通道時，防火墻就能得知每個出口需保護的數據流，即數據流的地址是規劃的私網地址時，就把數據流送到對應的VPN通道中。在負載均衡器上配置每個出口數據，同時對每個出口的做源地址NAT（網絡地址轉換），將原有數據包的源地址轉換成每個出口定義的私網地址，再將該數據包送到防火墻上。防火墻根據每個數據包的私網地址送入不同的VPN通道，經過加密傳輸到邊緣路由器上，從而實現了訪問外網的數據分散到多個出口之上。同時一般的負載均衡器都能配制線路的健康檢測，針對每個出口都配置一個健康檢測，都是以私網地址為源地址去做每個出口的健康檢測，實現對每個出口業務情況的掌控。難點一解決方案見圖2。

1.2.2 難點二解決方案

局域網邊緣的互聯網接入點在接入互聯網時，受接入方式的不同或成本的限制，有可能開通的帶寬各不相同，如何才能保證各出口的流量不會超過出口的接入帶寬。為解決這一難點，在智能負載均衡設備上，配置每條出口時指定最大帶寬，限制了智能負載均衡設備將數據轉發到每個出口的最大值，保證小帶寬出口不會因為流量過大造成擁塞。難點二解決方案見圖3。

1.2.3 難點三解決方案

大型局域網是指有多臺路由器組成，彼此之間通過動態路由協議交互路由信息，每臺設備均維護各自的路由表項。在這種網絡環境下，訪問互聯網的流量途徑任意一臺路由器時，都有可能被路由器轉發到錯誤接口上。

為了解決這一難點，必須在局域網邊緣的互聯網接入點和核心機房之間建立端到端的連接，保證流量能被準確的送到互聯網接入點。經過研究比對，推薦由互聯網接入點的寬帶路由器和核心機房內的防火墻使用IPsec來建立VPN通道解決這一難點，同時為簡化后期維護壓力，建議由互聯網接入點的小型寬帶路由器主動發起IPSec建立請求。難點三解決方案見圖4。

2 實際應用效果

1）使用效果：分別使用電信、聯通大小帶寬測試網站打開情況，從測試結果來看，小帶寬訪問網站質量與大帶寬近似，使用小帶寬出口后訪問效果并沒有下降。

2）流量使用情況：目前已試點使用了600 Mb/s電信、聯通小帶寬出口，流量使用比較穩定，可以承載部分大帶寬出口流量。

3）經濟效益：僅以電信20 Mb/s大小帶寬比對相關費用，目前電信大帶寬為2 000元/月，一年費用為2.4萬元/年，而家庭寬帶20 Mb/s費用為0.2萬元/年，加上每個接入點的路由器0.2萬元，每個20 Mb/s總計需費用為0.4萬元，兩者寬帶租用費用相差6倍。使用該方案可以大大減少集團用戶互聯網費用的支出。

3 結論

本研究針對傳統的互聯網接入方式提出的接入方案，可以顯著降低用戶的網絡接入成本和使用成本，大大提高用戶網絡的安全性和穩定性。最大限度地保障用戶業務正常使用。◆