基于SLA雙鏈路負載分擔與智能切換的鏈路安全仿真分析

◆周 俊 歐陽維敏 趙 倩 張 超

?

基于SLA雙鏈路負載分擔與智能切換的鏈路安全仿真分析

◆周 俊 歐陽維敏 趙 倩 張 超

（四川省人事人才考試測評基地 四川 610000）

為了解決實際工作中雙鏈路間的互聯互通問題，通信運營商之間新一輪的競爭逐漸由技術轉向服務，由此服務提供商和消費者雙方協商的服務等級協議SLA（Service Level Agreement，服務等級協議）受到越來越多人的關注，并且已經開始運用到各種場景，保證出口鏈路的高可用性和訪問效率。SLA要發揮更大的作用，還需要進一步的研究和提高，結合多鏈路負載分擔技術，比如電信和聯通雙鏈路雙向流量按照預設的算法分擔到不同的鏈路上，一旦某一條鏈路出現故障，能夠智能切換到另一條可用鏈路上。這樣便實現了鏈路負載分擔和智能切換，從電信來的流量走電信線路回去，從聯通來的流量走聯通線路回去，當其中一條鏈路出現故障時，所有的流量從沒有出現故障的線路走。

SLA；負載分擔；智能切換；鏈路安全；GNS3；仿真分析

0 引言

當前，隨著互聯網業務的大幅攀升，用戶大量的信息請求，不斷更新的應用需求以及對業務不間斷的持續訪問，成為應用服務商解決互聯網服務，獲得用戶認可的關鍵因素，因此提高服務品質和客戶滿意度已成為通信運營商在競爭中取勝的一個重要籌碼，SLA服務模式應運而生。SLA是服務提供商和客戶通過協商，在服務品質、優先權和責任義務等方面達成的協定，用來保證可度量的網絡性能達到所定義的品質，具有法律效力。

即使按照當時最優條件配置建設的網絡，面對不間斷、快速的用戶增長，鏈路也會無法承擔。原有鏈路也會因為用戶量的不斷增大導致用戶訪問速度過慢，鏈路擁塞，網絡故障頻繁，尤其是各個網絡的核心部分，其數據流量和計算強度之大，使得單一設備根本無法承擔，大多數單位會選擇向兩個Internet 服務提供商同時租用互聯網線路，擁有兩條互聯網連接鏈路來解決上述問題。而如何在完成同樣功能的雙鏈路及網絡設備之間實現合理的業務量分配，使之不至于出現某一臺設備故障，導致整個網絡癱瘓的情況，這就成當前必須克服的問題，負載分擔與智能切換機制也因此應運而生。本文將重點討論雙鏈路負載分擔與智能切換在建設高負載網絡方面的應用，以提高其穩定性和高效性，保障鏈路安全可靠。

1 分析問題

隨著Internet應用的不斷發展，網絡規模的不斷擴大，以及專線接入價格的不斷下調，企事業單位網絡對內和對外訪問業務需求也隨著網絡通信的不斷發展變得更加多樣化，核心網絡針對鏈路的要求也越來越嚴格，如何充分利用現有網絡設備和鏈路資源，平衡鏈路利用率，提高訪問速度，確保內部和外部的不間斷訪問以及鏈路服務的正常運轉和切換，已經成為企事業單位網絡鏈路控制的首要難題。只有一條鏈路連接公共網絡將導致單點失敗和網絡極其脆弱，目前日益增多的企事業單位為了保證自己各個部門之間、供應商和客戶之間可靠的Internet訪問，都逐步采用多個接入ISP鏈路，通用單鏈路系統拓撲圖，如圖1所示。

保證ISP鏈路接入的穩定性對于一家單位來說是非常重要的。現在絕大多數的單位都采用一條ISP鏈路接入，也就是說使用一條ISP鏈路。顯然，一條ISP無法保證它提供的Internet鏈路的持續可用性，從而可能導致單位WAN接入的中斷，而一個單位的Internet接入的中斷則意味著高額的損失。

為了保證出口鏈路的高可用性和訪問效率，計劃接入兩條ISP鏈路，實現雙鏈路自動切換，為外網及內網用戶提供7*24小時的不間斷訪問。當其中一條鏈路出現問題后，系統自動切換到正常的鏈路上工作，保證服務的不間斷運行。由于多鏈路解決方案能夠提供更好的可用性和帶寬性能，它正在被越來越多的單位所采用。可用性的提高來自于多條鏈路的使用，而性能提高則是因為同時使用多條鏈路增加了帶寬擴充了流量。多鏈路方案能夠提高單位業務的可用性和性能，但這種方案也面臨著特殊的問題和挑戰。（雙向流量按照預設的算法分擔到不同的鏈路上，一旦一條鏈路不通的情況下，能夠無縫切換到另外一條可用鏈路上）；所以基于以上的問題，雙鏈路負載分擔和智能切換也解決了目前廣泛存在的多個ISP之間的互聯互通問題。

圖1 通用單鏈路系統拓撲圖

2　構建虛擬網絡實驗

2.1 SLA的簡述

SLA：意思是服務品質保障協議。是關于網絡服務供應商和客戶間的一份合同，用來保證可計量的網絡性能達到所定義的品質，是一種網絡檢測監控工具，通過定期發送指定協議的報文來達到檢測和監控網絡通信情況的目的。根據報文在網絡中的傳輸情況生成報告，因此又稱為RTR（Response Time Reporter）即響應時間報告器。SLA為服務提供者提供了一種在當今多變而又競爭激烈的市場中勝過對手的方法。本文服務提供者是一個因特網服務提供者（ISP）。SLA結構圖如圖2所示：

圖2 SLA結構圖

2.2 SLA的必要性

SLA 的目標是營造網絡運營健康發展的生態環境，讓用戶享受到的不僅僅是一種口頭承諾的服務，而是受到法規約束，權益獲得有效保障的服務。成熟的電信運營商通過SLA 可以建立忠實穩定的大用戶；而新興的電信運營商則可以借此來吸引用戶，贏得競爭優勢。雖然開展SLA有著現實的必要性，但國內運營商并未普遍地開展SLA服務，目前只有部分運營商在少數業務的開展過程中提供了SLA的服務方式。為何中國電信、中國聯通等大運營商未普遍開展SLA呢？主要是各大運營商還未從壟斷式經營轉向服務型經營，其次是復雜的網絡環境導致技術創新緩慢，新技術推廣與實施還需要大量的投入。

新的電信業務開展方式，與壟斷經營時期的經營方式已經有了很大的差別，運營商與客戶的關系已經不再是單純的雙方之間的關系。很多業務涉及到第三方服務提供商、客戶和運營商，他們之間已經形成了一種多方的價值鏈關系。

2.3雙鏈路負載分擔、智能切換

在雙鏈路的出口環境下，雖然可以通過部署負載均衡設備來克服傳統出口路由器防火墻靜態策略轉發數據流的不靈活性，智能DNS功能提升了對外業務系統的訪問效率，帶寬利用率也提升了近50%，鏈路負載均衡讓網絡出口更高效、更可靠和更智能，但是也給中小型單位帶來了高額的資金預算，在不得不面對的現實面前，我們必須還得考慮現有設備的升級改造。之前做的雙出口都是路由備份，空閑其中一條鏈路，沒做過負載分擔的雙鏈路。本文通過模擬器搭建虛擬實驗環境，模擬雙出口均衡，把防火墻上的多運營商的IP地址做SLA配置，分別走不同的鏈路，實現鏈路負載分擔和智能切換，從電信來的流量走電信鏈路回去，從聯通來的流量走聯通線路回去，如果其中某一條鏈路出現故障，所有流量都從沒有出現故障的鏈路出去，從而實現虛擬的雙鏈路負載分擔和智能切換。

2.4仿真分析

（1）搭建網絡環境

按圖3所示的網絡拓撲圖結構搭建網絡，在安裝好的GNS3中配置好相應參數并添加相應型號的防火墻、路由器的IOS，并進行IDLE的計算，選擇好的IDLE的值即可。在此實驗中，選擇的防火墻是Cisco ASA5520，通過路由器R1的環回接口L125模擬ISP1、L119模擬ISP2。

圖3網絡拓撲圖

（2）SLA核心配置命令

sla monitor 1

type echo protocol ipIcmpEcho 125.10.30.22 interface Outside

frequency 10

sla monitor schedule 1 life forever start-time now

sla monitor 2

type echo protocol ipIcmpEcho 119.10.30.33 interface BK

frequency 10

sla monitor schedule 2 life forever start-time now

track 1 rtr 1 reachability

track 2 rtr 2 reachability

3　實驗結論

（1）默認情況，到電信的流量走電信出口，到聯通的流量走聯通出口。

R1#traceroute 125.10.30.18 source l119

Tracing the route to 125.10.30.18

1 125.10.20.22 48 msec 12 msec 8 msec

2 125.10.30.8 244 msec* *

3 125.10.30.18 1068 msec 644 msec 956 msec

R1#traceroute 119.10.30.18 source l119

Tracing the route to 119.10.30.18

1 119.10.20.33 132 msec 92 msec 100 msec

2 * 119.10.30.8 600 msec *

119.10.30.18 624 msec 640 msec 364 msec

（2）聯通線路不正常，去電信和網通的流量都走電信。

R1#traceroute 125.10.30.18 source l125

Tracing the route to 125.10.30.18

1 125.10.20.22 12 msec 100 msec 100 msec

2 * 125.10.30.8 96 msec *

3 125.10.30.18 172 msec 444 msec 472 msec

R1#traceroute 119.10.30.18 source l125

Tracing the route to 119.10.30.18

1 125.10.20.22 16 msec 28 msec 72 msec

2 * * *

3 119.10.30.18 420 msec 196 msec 176 msec

（3）電信線路不正常，去電信和聯通的流量都走聯通。

R1#traceroute 125.10.30.18 source l119

Tracing the route to 125.10.30.18

1 119.10.20.33 36 msec 76 msec 132 msec

2 119.10.30.8 296 msec* *

3 125.10.30.18 324 msec 472 msec 292 msec

R1#traceroute 119.10.30.18 source l125

Tracing the route to 119.10.30.18

1 119.10.20.33 32 msec 132 msec 100 msec

2 119.10.30.8 392 msec* *

3 119.10.30.18 912 msec 304 msec 296 msec

4 結束語

通過上述實驗可以解決實際工作中經常碰到用ASA接兩家ISP線路，比如電信和聯通，沒有足夠的預算買負載均衡設備，但是又想實現鏈路負載分擔和自動切換，從電信來的流量，從電信線路回去，從聯通來的流量從聯通線路回去，當其中一條線路出現故障時，所有的流量從沒有出現故障線路走。現有的網絡優化問題，通過現有設備達到鏈路負載均衡的效果，可以解決鏈路故障、自動切換鏈路，避免了因為單鏈路故障導致的整個鏈路的中斷問題。這樣不但解決了單點隱患，而且保障了鏈路的安全穩定，從一定程度上可以解決因經費困難而造成鏈路單點隱患的問題。通過在ASA上配置SLA來實現智能切換，不但可以充分發揮ASA的性能，而且避免了由于某一條鏈路故障問題而導致整個網絡出現故障。

[1]Chappell L A，Tittel E，馬海軍，吳華譯.TCP /IP 協議原理與應用[M].北京:清華大學出版社，2005.

[2]梁發洵GN.S3 在網絡實驗中的應用[J].電腦與電信，2010．

[3]劉玉軍.現代網絡系統原理與技術[M].北京:清華大學出版社，2007.

[4]張若英，邱雪松，孟洛明.SLA 的表示方法和應用[J]. 北京郵電大學學報，2003.

[5]TMF GB 917-2 v2. 5 -2005 , SLA management hand book-volume concepts and principles[ S]，2005.

[6]Evans J,Filsfils C .Deploying Diffserv at the Network Edge for Tight SLA ,Part2[J].IEEE Internet C om putting，2004.

[7]張挺.IP網絡的SLA服務等級協議探討.江蘇通信技術，2006.

[8]中國聯通OTA卡技術規范.第二部分:支持OTA下載的STK卡技術規范，2006.