王文軍， 吳 菁

(貴州民族大學(xué) 信息工程學(xué)院，貴陽 550025)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，單條鏈路、單臺服務(wù)器或單臺網(wǎng)絡(luò)設(shè)備已無法滿足用戶業(yè)務(wù)的快速增長需求，負(fù)載均衡(Load Balancing，簡稱LB)通過一種廉價(jià)、有效、透明的方法，來擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性，滿足用戶業(yè)務(wù)不斷發(fā)展的需求。負(fù)載均衡從服務(wù)的對象上，可分為服務(wù)器負(fù)載均衡、鏈路負(fù)載均衡和防火墻等網(wǎng)絡(luò)設(shè)備負(fù)載均衡。而鏈路負(fù)載均衡技術(shù)的出現(xiàn)不僅使服務(wù)提供商受益：方便擴(kuò)展網(wǎng)絡(luò)規(guī)模和業(yè)務(wù)系統(tǒng)容量，還可以快速響應(yīng)用戶業(yè)務(wù)訪問需求，提升用戶業(yè)務(wù)處理速度，降低網(wǎng)絡(luò)延時(shí)；更可以為用戶提供冗余可選鏈路，規(guī)避攻擊入侵并減少網(wǎng)絡(luò)故障干擾，提升網(wǎng)絡(luò)健壯性，最終使用戶受益。

1 鏈路負(fù)載均衡技術(shù)

(1) 鏈路負(fù)載均衡定義。由于跨不同運(yùn)營商鏈路訪問時(shí)，存在很多的問題，如延時(shí)大、丟包率高而導(dǎo)致客戶體驗(yàn)不好。因此越來越多的企業(yè)，通過鏈路負(fù)載均衡技術(shù)來改善用戶的訪問體驗(yàn)，提高網(wǎng)絡(luò)帶寬資源利用率。鏈路負(fù)載均衡即指網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流量時(shí)，選擇響應(yīng)速度快、符合帶寬要求的網(wǎng)絡(luò)鏈路提供服務(wù)。

(2) 鏈路負(fù)載均衡類型。鏈路負(fù)載均衡類型主要分為出口鏈路負(fù)載均衡和入口鏈路負(fù)載均衡。一般現(xiàn)企業(yè)內(nèi)網(wǎng)到外網(wǎng)會租用多個(gè)運(yùn)營商的線路作為出口，不同的運(yùn)營商鏈路帶寬和延遲都不同，出口鏈路的負(fù)載均衡技術(shù)通?？梢愿鶕?jù)不同企業(yè)用戶的不同訪問外網(wǎng)需求擇優(yōu)選擇鏈路。而入口鏈路的負(fù)載均衡技術(shù)通常將訪問企業(yè)流量的鏈路選擇與DNS域名解析結(jié)合，用戶通過DNS域名訪問企業(yè)內(nèi)部時(shí)，負(fù)載均衡器選擇可用鏈路的IP地址作為DNS域名解析結(jié)果，指引訪問企業(yè)的外部流量選擇合適的網(wǎng)絡(luò)轉(zhuǎn)發(fā)鏈路。

2 Cisco設(shè)備中的出口鏈路負(fù)載均衡技術(shù)研究

圖1為Cisco設(shè)備實(shí)現(xiàn)出口鏈路負(fù)載均衡的典型組網(wǎng)模型圖，企業(yè)內(nèi)網(wǎng)與核心交換機(jī)相連，核心交換機(jī)上行與兩臺負(fù)載均衡設(shè)備相連，而每臺負(fù)載均衡設(shè)備與外網(wǎng)有兩條鏈路相通(即電信和聯(lián)通)。企業(yè)內(nèi)網(wǎng)用戶訪問外網(wǎng)服務(wù)器時(shí)，企業(yè)內(nèi)用戶端發(fā)出的請求報(bào)文會經(jīng)過核心交換機(jī)，發(fā)往其中一臺負(fù)載均衡設(shè)備(兩臺負(fù)載均衡設(shè)備互為主備)，業(yè)務(wù)流量經(jīng)過負(fù)載均衡設(shè)備處理后，最終為客戶端的請求選中一條最優(yōu)的鏈路通向外網(wǎng)。

一般情況下根據(jù)用戶請求的目的地址來選擇出口鏈路(圖1)，如果請求的目的地址是屬于電信地址網(wǎng)段的，則優(yōu)先選擇電信出口；如果請求的目的地址是屬于聯(lián)通地址網(wǎng)段的，則優(yōu)先選擇聯(lián)通出口；如果請求的目的地址既非電信地址，也非聯(lián)通地址，則可以默認(rèn)優(yōu)先選擇電信出口。

圖1 出口鏈路負(fù)載均衡典型組網(wǎng)模型

2.1 出口鏈路負(fù)載均衡特性架構(gòu)

Cisco出口鏈路負(fù)載均衡特性主要包括5個(gè)模塊(圖2)：流分類、鏈路、持續(xù)性、探測器和LB轉(zhuǎn)發(fā)。每個(gè)模塊主要功能如下：

(1) 流分類模塊。負(fù)載均衡設(shè)備根據(jù)業(yè)務(wù)流量的特征，對網(wǎng)絡(luò)流量進(jìn)行分類和管理，最終將業(yè)務(wù)流量轉(zhuǎn)發(fā)給合適的鏈路網(wǎng)關(guān)進(jìn)行處理或轉(zhuǎn)發(fā)，流量分類和流量管理是負(fù)載均衡的核心內(nèi)容。根據(jù)報(bào)文的IP地址、協(xié)議號、端口號等三、四層信息對流量進(jìn)行分類，對符合條件的四層報(bào)文進(jìn)行轉(zhuǎn)發(fā)、丟棄、負(fù)載均衡等。

(2) 鏈路模塊。負(fù)載均衡設(shè)備對業(yè)務(wù)流量進(jìn)行分類后，對于符合條件的用戶業(yè)務(wù)流量，選擇對應(yīng)的鏈路組提供服務(wù)。最終根據(jù)鏈路組中配置的負(fù)載均衡算法，來選擇滿足條件的鏈路處理或轉(zhuǎn)發(fā)用戶的數(shù)據(jù)報(bào)文。

(3) 持續(xù)性模塊。負(fù)載均衡設(shè)備啟用持續(xù)性功能后，可自動(dòng)生成用戶業(yè)務(wù)報(bào)文和鏈路的對應(yīng)關(guān)系表，從而將用戶一段時(shí)間內(nèi)的連接請求始終交給同一條鏈路轉(zhuǎn)發(fā)，滿足業(yè)務(wù)系統(tǒng)的需求。

(4) 探測器模塊。健康性檢測是指負(fù)載均衡設(shè)備定時(shí)對鏈路的服務(wù)狀態(tài)進(jìn)行探測，收集鏈路的健康狀況及運(yùn)行信息，及時(shí)隔離工作異常的鏈路，最終選擇高效能的鏈路完成業(yè)務(wù)處理和轉(zhuǎn)發(fā)。

(5) LB轉(zhuǎn)發(fā)模塊。業(yè)務(wù)流量到達(dá)負(fù)載均衡設(shè)備后，LB轉(zhuǎn)發(fā)模塊根據(jù)解析后的業(yè)務(wù)流量特征和LB控制面各模塊下發(fā)至轉(zhuǎn)發(fā)面的數(shù)據(jù)，決定選擇哪條是最優(yōu)的鏈路來最好地為用戶提供服務(wù)。

2.2 如何配置出口鏈路負(fù)載均衡

在有多個(gè)運(yùn)營商出口的網(wǎng)絡(luò)環(huán)境中，配置出口鏈路負(fù)載均衡，可實(shí)現(xiàn)鏈路的動(dòng)態(tài)選擇，提高服務(wù)的可靠性。在Cisco的負(fù)載均衡設(shè)備上可配置鏈路，鏈路組，動(dòng)作模板，七層分類，三層分類以及流策略等。用戶若要實(shí)現(xiàn)基本的出口鏈路負(fù)載均衡功能，其基本配置操作流程如下：

/*第一步創(chuàng)建鏈路，并配置鏈路參數(shù)，包括鏈路對應(yīng)的網(wǎng)關(guān)IP地址、帶寬限制、帶寬閾值、權(quán)重等*/

link Telecom1

ip address 20.20.20.1

weight 90

conn-limit max 25000

rate-limit connection 3500

rate-limit bandwidth inbound 100 threshold 80

rate-limit bandwidth outbound 100 threshold 80

q

link Unicom1

ip address 30.30.30.1

weight 60

conn-limit max 20000

rate-limit connection 3000

rate-limit bandwidth inbound 300 threshold 80

rate-limit bandwidth outbound 300 threshold 80

q

/*第二步配置鏈路健康性檢測，在出口鏈路負(fù)載均衡中，需要檢測鏈路狀態(tài)，以便系統(tǒng)做負(fù)載均衡決策時(shí)判斷是否使用該鏈路*/

probe probe1 icmp

time-out 10

interval 20

fail-interval 20

q

/*第三步創(chuàng)建鏈路組，將各鏈路加入鏈路組，并啟用服務(wù)，同時(shí)配置鏈路組中的參數(shù)，包括此鏈路組中使用的探測器、負(fù)載均衡算法、報(bào)文轉(zhuǎn)發(fā)模式等*/

linkgroup group1

link Telecom1

inservice

q

link Unicom1

inservice

q

probe probe1

method roundrobin

mode redirect

q

/*第四步創(chuàng)建負(fù)載均衡動(dòng)作模板，綁定鏈路組，即指定動(dòng)作選擇此鏈路組，同時(shí)也表明動(dòng)作類型是出口鏈路負(fù)載均衡*/

action act1

linkgroup group1

q

/*第五步創(chuàng)建七層分類，并指定流量匹配規(guī)則*/

17class 17class1

match any

q

/*第六步配置ACL規(guī)則，以識別需要做出口鏈路負(fù)載均衡的各類業(yè)務(wù)流量*/

acl number 3000

rule permit ip destination111.224.0.0 0.0.255.255

q

/*第七步創(chuàng)建三層分類，映射七層分類和動(dòng)作模板，并指定匹配規(guī)則為匹配acl 3000的流量做出口鏈路負(fù)載均衡*/

13class 13class1

17class 17class1 action act1

if-match acl 3000

q

/*第八步創(chuàng)建負(fù)載均衡策略，以綁定三層分類，其中一個(gè)策略可以綁定多個(gè)三層分類，實(shí)現(xiàn)不同的業(yè)務(wù)應(yīng)用*/

policy policy1

13class 13class1

q

/*第九步在某接口下綁定負(fù)載均衡策略，只有策略綁定后才能生效，才能對該接口下的匹配三層分類的流量做出口鏈路負(fù)載均衡*/

interface eth-trunk 1

policy policy1

q

2.3 如何實(shí)現(xiàn)出口鏈路負(fù)載均衡

企業(yè)內(nèi)客戶端發(fā)出的請求報(bào)文進(jìn)入負(fù)載均衡設(shè)備時(shí)首先查看入接口下有無綁定負(fù)載均衡策略，如果負(fù)載均衡策略已被綁定，則表示流量走負(fù)載均衡的業(yè)務(wù)處理，進(jìn)入下一步。反之，流量不走負(fù)載均衡業(yè)務(wù)處理，走正常的二三層轉(zhuǎn)發(fā)。

負(fù)載均衡策略下是否已綁定三層分類，如果三層分類沒有在負(fù)載均衡策略下綁定，則設(shè)備直接將報(bào)文丟棄。反之，三層分類已被負(fù)載均衡策略綁定，進(jìn)入下一步。

負(fù)載均衡設(shè)備根據(jù)請求報(bào)文的基本屬性，如源目的ip、源目的port、報(bào)文protocol等五元組信息與設(shè)備上三層分類下配置的數(shù)據(jù)規(guī)則是否一致來決定該設(shè)備是否對該業(yè)務(wù)流量提供出口鏈路負(fù)載均衡服務(wù)。如果不匹配，設(shè)備不對其提供服務(wù)，直接將該報(bào)文丟棄；反之，則會進(jìn)入下一步。

匹配三層分類后，再看其是否匹配三層分類下綁定的七層分類，如果匹配七層分類，則會命中三層分類下與七層分類對應(yīng)綁定的動(dòng)作模板。在七層分類下可配置多條匹配規(guī)則，并且可按用戶的意愿配置匹配類型“與”或“或”?！芭c”類型是指要匹配七層分類下的所有規(guī)則才算匹配成功，而“或”類型是只要匹配其中一條規(guī)則即認(rèn)為匹配成功。如果不匹配，設(shè)備不會對該請求流量提供出口鏈路負(fù)載均衡服務(wù)。匹配any是指任何報(bào)文都可進(jìn)入下一流程，命中對應(yīng)的動(dòng)作模板。

如果動(dòng)作模板下綁定的是鏈路組，則表明動(dòng)作類型是出口鏈路負(fù)載均衡，則會進(jìn)入下一步處理；如果綁定的是持續(xù)性組，則表明動(dòng)作類型是stickiness，那么每次命中該動(dòng)作模板時(shí)都會一直命中同一條鏈路；如果綁定的動(dòng)作類型是drop，則表明每次命中該動(dòng)作模板時(shí)都會將報(bào)文丟棄；如果綁定的動(dòng)作類型是forward，則表明每次命中該動(dòng)作模板時(shí)都會查路由將報(bào)文直接轉(zhuǎn)發(fā)。

設(shè)備根據(jù)動(dòng)作模板下綁定的鏈路組中配置的負(fù)載均衡算法和探測器，選擇一條負(fù)載較小且健康的鏈路。如果鏈路組中有的鏈路，經(jīng)過探測器檢測發(fā)現(xiàn)是不健康的，則首先不予考慮，通過負(fù)載均衡算法在健康的鏈路當(dāng)中選擇最優(yōu)的鏈路。

主要介紹的動(dòng)作模板類型是出口鏈路負(fù)載均衡。在動(dòng)作模板下不僅可以綁定鏈路組，還可為綁定的鏈路組配置相應(yīng)的備鏈路組。如果主鏈路組中所有的鏈路都down了，那么就會進(jìn)行鏈路組的主備切換，備用鏈路組進(jìn)行提供服務(wù)。同時(shí)在鏈路組中每條鏈路也可以配置相應(yīng)的備用鏈路，如果正在服務(wù)的主鏈路down了，備用鏈路也會接管繼續(xù)提供服務(wù)。

圖3即為Cisco設(shè)備實(shí)現(xiàn)出口鏈路負(fù)載均衡，處理業(yè)務(wù)報(bào)文的主要流程圖。如下則為在實(shí)驗(yàn)室模擬現(xiàn)網(wǎng)的鏡像環(huán)境出口鏈路負(fù)載均衡實(shí)驗(yàn)實(shí)例，在實(shí)驗(yàn)室搭建的鏡像環(huán)境網(wǎng)絡(luò)拓?fù)淙鐖D4，實(shí)驗(yàn)測試過程如表1。從表1可以看出負(fù)載均衡器不僅能通過請求的報(bào)文目的地址選擇鏈路出口，而且也可以在選擇的鏈路down的情況下，改而選擇健康的鏈路出口。

圖3 出口鏈路負(fù)載均衡設(shè)備處理業(yè)務(wù)報(bào)文的主要流程

圖4 實(shí)驗(yàn)室鏡像環(huán)境出口鏈路負(fù)載均衡網(wǎng)絡(luò)拓?fù)?/p>

表1實(shí)驗(yàn)室鏡像環(huán)境出口鏈路負(fù)載均衡實(shí)驗(yàn)測試過程

序號實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)預(yù)置條件實(shí)驗(yàn)步驟實(shí)驗(yàn)結(jié)果1在負(fù)載均衡器上配置如果請求的報(bào)文目的地址是服務(wù)器的地址,將該請求下一跳重定向到鏈路1(1)交換機(jī)1和交換機(jī)2上都有到達(dá)Server的路由(2)在交換機(jī)1與交換機(jī)3上連的接口和交換機(jī)2與交換機(jī)3上連的接口均配置SNAT(源地址轉(zhuǎn)換)功能(1)創(chuàng)建并配置分別到交換機(jī)1的鏈路1、到交換機(jī)2的鏈路2;(2)配置用于鏈路1和鏈路2健康性檢測的udp探測器;(3)創(chuàng)建兩個(gè)鏈路組,均指定轉(zhuǎn)發(fā)模式為重定向模式,兩個(gè)鏈路組均綁定鏈路1、鏈路2和udp探測器,但在鏈路組1中,配置鏈路1的優(yōu)先級高于鏈路2的優(yōu)先級,在鏈路組2中,配置鏈路2的優(yōu)先級高于鏈路1的優(yōu)先級;(4)配置L7分類和兩個(gè)負(fù)載均衡動(dòng)作模板,在動(dòng)作模板1中綁定鏈路組1,在動(dòng)作模板2中綁定鏈路組2;(5)創(chuàng)建ACL3001,并配置其規(guī)則為允許目的地址為50.50.50.5/32(即Server的ip地址)的報(bào)文通過。創(chuàng)建ACL3002,并配置其規(guī)則為允許目的地址為50.50.50.6/32的報(bào)文通過;(6)創(chuàng)建L3分類1,綁定L7分類和動(dòng)作模板1,并指定匹配規(guī)則為匹配ACL 3001的流量做優(yōu)先選擇鏈路1的出口鏈路負(fù)載均衡。創(chuàng)建L3分類2,綁定L7分類和動(dòng)作模板2,并指定匹配規(guī)則為匹配ACL 3002的流量做優(yōu)先選擇鏈路2的出口鏈路負(fù)載均衡;(7)配置負(fù)載均衡策略,綁定L3分類1和L3分類2,并在連PC的接口上應(yīng)用負(fù)載均衡策略;(8)在PC上通過瀏覽器訪問Server上的網(wǎng)頁。通過在交換機(jī)1上的端口鏡像抓包發(fā)現(xiàn)PC發(fā)出的請求報(bào)文經(jīng)過鏈路1到達(dá)Server2拔掉鏈路1的網(wǎng)線,使得負(fù)載均衡器探測到鏈路1網(wǎng)絡(luò)不通,負(fù)載均衡器自動(dòng)轉(zhuǎn)而將請求下一跳重定向到健康的鏈路2同上步驟同實(shí)驗(yàn)1的步驟,唯一的區(qū)別在于在第8步之前,增加一步拔掉鏈路1的網(wǎng)線通過在交換機(jī)2上的端口鏡像抓包發(fā)現(xiàn)PC發(fā)出的請求報(bào)文經(jīng)過鏈路2到達(dá)Server3修改負(fù)載均衡器上的ACL配置,如果請求的報(bào)文目的地址是服務(wù)器的地址,將該請求下一跳重定向到鏈路2同上步驟同實(shí)驗(yàn)1的步驟,唯一的區(qū)別在于第6步,修改負(fù)載均衡器的配置,將L3分類2改為綁定ACL 3001,L3分類1改為綁定ACL 3002通過在交換機(jī)2上的端口鏡像抓包發(fā)現(xiàn)PC發(fā)出的請求報(bào)文經(jīng)過鏈路2到達(dá)Server

3 結(jié) 論

為了規(guī)避運(yùn)營商出口故障帶來的網(wǎng)絡(luò)可用性風(fēng)險(xiǎn)，和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題，企業(yè)往往會租用兩個(gè)或多個(gè)運(yùn)營商出口。但如何合理運(yùn)用多個(gè)運(yùn)營商出口，既不造成資源浪費(fèi)，又能很好地服務(wù)于企業(yè)，一直是企業(yè)關(guān)注的問題。傳統(tǒng)的策略路由可以在一定程度上解決該問題，但是策略路由配置不方便，而且不夠靈活，無法動(dòng)態(tài)適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化，且策略路由無法根據(jù)帶寬進(jìn)行報(bào)文分發(fā)，造成高吞吐量的鏈路無法得到充分利用。出口鏈路負(fù)載均衡技術(shù)，可以通過動(dòng)態(tài)均衡算法，能夠在多條出口鏈路中進(jìn)行負(fù)載均衡，算法配置簡單，且具有自適應(yīng)能力，能解決上述問題。這種出口鏈路負(fù)載均衡技術(shù)具有如下優(yōu)勢：

(1) 高可靠性。單條甚至多條網(wǎng)絡(luò)鏈路發(fā)生故障時(shí)，系統(tǒng)自動(dòng)將業(yè)務(wù)切換到正常的網(wǎng)絡(luò)鏈路，使業(yè)務(wù)不被中斷，降低了網(wǎng)絡(luò)故障率，提高了業(yè)務(wù)處理的可靠性。

(2) 高性能。負(fù)載均衡將業(yè)務(wù)較為均衡地分擔(dān)給多條網(wǎng)絡(luò)鏈路，從而將這些鏈路的處理能力整合起來，對外看來，猶如一條“大”的鏈路，提高了網(wǎng)絡(luò)的整體性能。

(3) 可擴(kuò)展性。通過出口鏈路負(fù)載均衡，用戶可方便地增加鏈路的數(shù)量，在不降低業(yè)務(wù)質(zhì)量的前提下滿足不斷增長的業(yè)務(wù)需求。

參考文獻(xiàn)：

[1] CISCO SYSTEMS INC. Device Manager Guide， Cisco ACE 4700 Series Application Control Engine Appliance[OL-26644-03]. 2013

[2] CISCO SYSTEMS INC. Cisco 4700 Series Application Control Engine Appliance Server Load-Balancing Configuration Guide[OL-23547-01]. 2010

[3] 宋繼平. 動(dòng)態(tài)鏈路負(fù)載均衡技術(shù)在園區(qū)網(wǎng)絡(luò)中的應(yīng)用探討[J]. 電信技術(shù)， 2013(1)：47-49

[4] 田芮利. 負(fù)載均衡技術(shù)在企業(yè)網(wǎng)中的應(yīng)用[J]. 信息與電腦：理論版， 2012(9)：133-135

[5] POSTEL J. Internet Protocol-DARPA Internet Program Protocol Specification[M]. IETF RFC：USC/Information Sciences Institute， 1981

[6] 百度文庫. F5鏈路負(fù)載均衡解決方案[EB/OL]. http：∥wenku.baidu.com/link?url=Sq6QcfHAAdVIDvZbIa7gU5DMT JuFruUaN8LDnbt1hwwbycpfTd9MtR_jU8gshtxmrZInw0k4ot4rx0zHwyWLSjDjSh7lC8dN5N3_3zRxVBm， 2011

[7] 百度百科.鏈路負(fù)載均衡[EB/OL]. http：∥baike.baidu.com/link?url=yG_N6-ZyMF41xu4PzWs3A0jlQQvG55B7eyvm PRSbceTeH-gD_xQnRmqUerhJtI7HdVR0Hcd7baB9JsmxbAIvO_， 2014