中國移動(dòng)通信集團(tuán)江蘇有限公司鎮(zhèn)江分公司 劉志堅(jiān) 石春磊 秦爾楠 宋嘯天

面向多出口的互聯(lián)網(wǎng)訪問方法及系統(tǒng)管理

中國移動(dòng)通信集團(tuán)江蘇有限公司鎮(zhèn)江分公司 劉志堅(jiān) 石春磊 秦爾楠 宋嘯天

傳統(tǒng)互聯(lián)網(wǎng)接入方式均是通過專線接入，接入受限于現(xiàn)有物理傳輸資源，同時(shí)缺乏路由保護(hù)。介紹了利用多條小帶寬出口分散接，并最終匯聚成一條大帶寬出口，達(dá)到和互聯(lián)網(wǎng)專線接入的同等效果。

大型局域網(wǎng)；虛擬專用網(wǎng)；負(fù)載均衡器

目前大型局域網(wǎng)接入互聯(lián)網(wǎng)均是通過從運(yùn)營商機(jī)房布放專線接入局域網(wǎng)的核心設(shè)備來實(shí)現(xiàn)。該方案的主要缺點(diǎn)是：通過專線接入的方式受限于現(xiàn)有物理傳輸資源，如果傳輸資源無法到達(dá)用戶核心機(jī)房，將無法接入；同時(shí)這種接入方式缺乏路由保護(hù)，如果接入的物理線路發(fā)生故障，將影響用戶的正常使用。

1 多出口互聯(lián)網(wǎng)訪問方案

本次主要研究利用多條小帶寬出口分散接入，最終通過技術(shù)匯聚成一條大帶寬，達(dá)到和大帶寬專線接入同等的效果。下面結(jié)合圖1，對(duì)本次研究作詳細(xì)的闡述。

該系統(tǒng)主要由兩部分組成：其是支持IPSec（IP安全協(xié)議）中IKE（因特網(wǎng)密鑰交換）v2版本的防火墻和小型寬帶路由器組成的VPN（虛擬專用網(wǎng)）通道，其二是智能負(fù)載均衡設(shè)備。

1.1 核心技術(shù)難點(diǎn)

在本方案中，最大的難點(diǎn)有3個(gè)：

1）如何將大量的流量分流到各個(gè)互聯(lián)網(wǎng)出口上，并且根據(jù)出口的狀態(tài)（通或不通）動(dòng)態(tài)的調(diào)整各個(gè)出口的流量；

2）如何將訪問互聯(lián)網(wǎng)的流量按開通的帶寬大小均勻分配到各個(gè)出口；

3）分配到各個(gè)出口上的流量，如何能準(zhǔn)確的送到各個(gè)出口，不會(huì)被途中的路由器轉(zhuǎn)發(fā)到其他地方。

1.2 核心技術(shù)解決方案

1.2.1 難點(diǎn)一解決方案

到目前為止，互聯(lián)網(wǎng)接入點(diǎn)和核心機(jī)房的VPN通道已經(jīng)建立，每個(gè)出口的流量也由負(fù)載均衡器做了限制，但現(xiàn)在VPN通道僅僅是防火墻和邊緣路由器之間建立，如果智能負(fù)載均衡設(shè)備不知道目前已接通的VPN通道，那就無法正確地將流量指向各個(gè)出口，無法實(shí)現(xiàn)將大流量分散到各個(gè)出口上。為解決這個(gè)難題，我們通過IPSec中保護(hù)數(shù)據(jù)流的方式來實(shí)現(xiàn)，為每一個(gè)小出口定義一個(gè)需保護(hù)的數(shù)據(jù)流。

我們單獨(dú)規(guī)劃一段私網(wǎng)地址，每個(gè)出口一一對(duì)應(yīng)一個(gè)私網(wǎng)地址，在邊緣路由器配置時(shí)，通過創(chuàng)建ACL（訪問控制列表）來定義保護(hù)的數(shù)據(jù)流，即該ACL中匹配該出口對(duì)應(yīng)的私網(wǎng)地址，同時(shí)在IPSec的安全策略中引用該ACL。這樣當(dāng)邊緣路由器和核心防火墻建立IPSec的VPN通道時(shí)，防火墻就能得知每個(gè)出口需保護(hù)的數(shù)據(jù)流，即數(shù)據(jù)流的地址是規(guī)劃的私網(wǎng)地址時(shí)，就把數(shù)據(jù)流送到對(duì)應(yīng)的VPN通道中。在負(fù)載均衡器上配置每個(gè)出口數(shù)據(jù)，同時(shí)對(duì)每個(gè)出口的做源地址NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），將原有數(shù)據(jù)包的源地址轉(zhuǎn)換成每個(gè)出口定義的私網(wǎng)地址，再將該數(shù)據(jù)包送到防火墻上。防火墻根據(jù)每個(gè)數(shù)據(jù)包的私網(wǎng)地址送入不同的VPN通道，經(jīng)過加密傳輸?shù)竭吘壜酚善魃?，從而?shí)現(xiàn)了訪問外網(wǎng)的數(shù)據(jù)分散到多個(gè)出口之上。同時(shí)一般的負(fù)載均衡器都能配制線路的健康檢測(cè)，針對(duì)每個(gè)出口都配置一個(gè)健康檢測(cè)，都是以私網(wǎng)地址為源地址去做每個(gè)出口的健康檢測(cè)，實(shí)現(xiàn)對(duì)每個(gè)出口業(yè)務(wù)情況的掌控。難點(diǎn)一解決方案見圖2。

1.2.2 難點(diǎn)二解決方案

局域網(wǎng)邊緣的互聯(lián)網(wǎng)接入點(diǎn)在接入互聯(lián)網(wǎng)時(shí)，受接入方式的不同或成本的限制，有可能開通的帶寬各不相同，如何才能保證各出口的流量不會(huì)超過出口的接入帶寬。為解決這一難點(diǎn)，在智能負(fù)載均衡設(shè)備上，配置每條出口時(shí)指定最大帶寬，限制了智能負(fù)載均衡設(shè)備將數(shù)據(jù)轉(zhuǎn)發(fā)到每個(gè)出口的最大值，保證小帶寬出口不會(huì)因?yàn)榱髁窟^大造成擁塞。難點(diǎn)二解決方案見圖3。

1.2.3 難點(diǎn)三解決方案

大型局域網(wǎng)是指有多臺(tái)路由器組成，彼此之間通過動(dòng)態(tài)路由協(xié)議交互路由信息，每臺(tái)設(shè)備均維護(hù)各自的路由表項(xiàng)。在這種網(wǎng)絡(luò)環(huán)境下，訪問互聯(lián)網(wǎng)的流量途徑任意一臺(tái)路由器時(shí)，都有可能被路由器轉(zhuǎn)發(fā)到錯(cuò)誤接口上。

為了解決這一難點(diǎn)，必須在局域網(wǎng)邊緣的互聯(lián)網(wǎng)接入點(diǎn)和核心機(jī)房之間建立端到端的連接，保證流量能被準(zhǔn)確的送到互聯(lián)網(wǎng)接入點(diǎn)。經(jīng)過研究比對(duì)，推薦由互聯(lián)網(wǎng)接入點(diǎn)的寬帶路由器和核心機(jī)房內(nèi)的防火墻使用IPsec來建立VPN通道解決這一難點(diǎn)，同時(shí)為簡化后期維護(hù)壓力，建議由互聯(lián)網(wǎng)接入點(diǎn)的小型寬帶路由器主動(dòng)發(fā)起IPSec建立請(qǐng)求。難點(diǎn)三解決方案見圖4。

2 實(shí)際應(yīng)用效果

1）使用效果：分別使用電信、聯(lián)通大小帶寬測(cè)試網(wǎng)站打開情況，從測(cè)試結(jié)果來看，小帶寬訪問網(wǎng)站質(zhì)量與大帶寬近似，使用小帶寬出口后訪問效果并沒有下降。

2）流量使用情況：目前已試點(diǎn)使用了600 Mb/s電信、聯(lián)通小帶寬出口，流量使用比較穩(wěn)定，可以承載部分大帶寬出口流量。

3）經(jīng)濟(jì)效益：僅以電信20 Mb/s大小帶寬比對(duì)相關(guān)費(fèi)用，目前電信大帶寬為2 000元/月，一年費(fèi)用為2.4萬元/年，而家庭寬帶20 Mb/s費(fèi)用為0.2萬元/年，加上每個(gè)接入點(diǎn)的路由器0.2萬元，每個(gè)20 Mb/s總計(jì)需費(fèi)用為0.4萬元，兩者寬帶租用費(fèi)用相差6倍。使用該方案可以大大減少集團(tuán)用戶互聯(lián)網(wǎng)費(fèi)用的支出。

3 結(jié)論

本研究針對(duì)傳統(tǒng)的互聯(lián)網(wǎng)接入方式提出的接入方案，可以顯著降低用戶的網(wǎng)絡(luò)接入成本和使用成本，大大提高用戶網(wǎng)絡(luò)的安全性和穩(wěn)定性。最大限度地保障用戶業(yè)務(wù)正常使用?！?/p>