■ 合肥 馬濤

編者按：筆者所在的公司與某互聯(lián)網(wǎng)平臺(tái)合作，開(kāi)始向用戶(hù)提供該平臺(tái)的視頻點(diǎn)播服務(wù)，用戶(hù)可以通過(guò)有線電視機(jī)頂盒點(diǎn)播該平臺(tái)的視頻節(jié)目。那么，如何選擇與云端的對(duì)接鏈路呢？本文將作詳細(xì)介紹。

平臺(tái)視頻點(diǎn)播業(yè)務(wù)不但需要保證本地CDN 服務(wù)器與云端之間的通信安全、高效和可靠，還要考慮到投入的性?xún)r(jià)比?？紤]到安全可靠性，專(zhuān)線是對(duì)接鏈路的首選。專(zhuān)線有著以下優(yōu)點(diǎn)：

1.業(yè)務(wù)安全性高，傳輸安全可靠。

2.相對(duì)的傳輸質(zhì)量高，獨(dú)享帶寬，不會(huì)有較大的網(wǎng)絡(luò)波動(dòng)。

3.采用以太網(wǎng)口接入，不需另外購(gòu)買(mǎi)傳輸設(shè)備，不需占用更多的槽位，接入方便。

4.對(duì)用戶(hù)的IP 地址、內(nèi)部路由等完全透明，用戶(hù)可以自主管理內(nèi)部的IP 網(wǎng)絡(luò)和路由，具有自我管理的IP環(huán)境。

雖然專(zhuān)線的優(yōu)點(diǎn)很多，我們也不能忽視租用專(zhuān)線成本過(guò)高的缺點(diǎn)，既要保證數(shù)據(jù)傳輸?shù)陌踩?，同時(shí)還具備接入方式靈活、擴(kuò)展性好、支持多業(yè)務(wù)種類(lèi)等，并且還不用額外支出專(zhuān)線那樣的高額的租費(fèi)，而IPSec VPN 構(gòu)建的虛擬專(zhuān)網(wǎng)正是具備了這樣的優(yōu)點(diǎn)。但是IPSec VPN 的帶寬會(huì)受到互聯(lián)網(wǎng)環(huán)境的影響，波動(dòng)可能不可預(yù)測(cè)。

所以，在綜合考慮了網(wǎng)絡(luò)的可靠性和需要投入的成本后，我們確定了使用第三方的專(zhuān)線接入作為主用線路，并選擇了構(gòu)建IPSec VPN 虛擬專(zhuān)網(wǎng)作為備用線路。

下面是筆者在這次網(wǎng)絡(luò)構(gòu)建中遇到的一些情況和大家分享一下。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)?/p>

出口防火墻的雙機(jī)熱備

為了保證網(wǎng)絡(luò)的安全性，我們需要在系統(tǒng)的出口部署防火墻等網(wǎng)絡(luò)安全設(shè)備。而為了提升網(wǎng)絡(luò)的可靠性，我們部署了兩臺(tái)高性能的防火墻，并設(shè)置了雙機(jī)熱備，互為備份的兩臺(tái)防火墻會(huì)通過(guò)備份鏈路定時(shí)向另一臺(tái)發(fā)送狀態(tài)協(xié)商報(bào)文，協(xié)商進(jìn)入同步狀態(tài)后開(kāi)始備份對(duì)端的會(huì)話、ALG 表項(xiàng)和黑名單等重要信息，進(jìn)入同步狀態(tài)后某段時(shí)間中兩臺(tái)防火墻上的業(yè)務(wù)狀態(tài)是一致的。

當(dāng)其中一臺(tái)防火墻發(fā)生故障時(shí)，在轉(zhuǎn)發(fā)層面利用VRRP 或動(dòng)態(tài)路由（例如OSPF）機(jī)制將業(yè)務(wù)流量切換到另一臺(tái)防火墻，由于另一臺(tái)防火墻已經(jīng)備份了故障設(shè)備上的會(huì)話等信息，業(yè)務(wù)數(shù)據(jù)流便可以從熱備的防火墻上直接通過(guò)，從而在很大程度上避免了網(wǎng)絡(luò)業(yè)務(wù)的中斷。

雙機(jī)熱備解決方案根據(jù)組網(wǎng)情況有兩種工作模式：主備模式和負(fù)載分擔(dān)模式。在這兩種模式中，設(shè)備的角色根據(jù)是否承擔(dān)流量來(lái)決定，有流量經(jīng)過(guò)的設(shè)備即為主設(shè)備，無(wú)流量經(jīng)過(guò)的設(shè)備即為備份設(shè)備。

主備模式下的兩臺(tái)防火墻，其中一臺(tái)作為主設(shè)備，另一臺(tái)作為備份設(shè)備。主設(shè)備處理所有業(yè)務(wù)，并將產(chǎn)生的會(huì)話信息傳送到備份設(shè)備進(jìn)行備份；備份設(shè)備不處理業(yè)務(wù)，只用做備份。當(dāng)主設(shè)備故障，備份設(shè)備接替主設(shè)備處理業(yè)務(wù)，從而保證新發(fā)起的會(huì)話能正常建立，當(dāng)前正在進(jìn)行的會(huì)話也不會(huì)中斷。

而負(fù)載分擔(dān)模式下，兩臺(tái)設(shè)備均為主設(shè)備，都處理業(yè)務(wù)流量，同時(shí)又作為另一臺(tái)設(shè)備的備份設(shè)備，備份對(duì)端的會(huì)話信息。當(dāng)其中一臺(tái)故障后，另一臺(tái)設(shè)備負(fù)責(zé)處理全部業(yè)務(wù)，從而保證新發(fā)起的會(huì)話能正常建立，當(dāng)前正在進(jìn)行的會(huì)話也不會(huì)中斷。

在具體使用中，是否要啟用雙機(jī)熱備，還是要看防火墻內(nèi)所接業(yè)務(wù)的復(fù)雜程度來(lái)進(jìn)行選擇。比如圖1 中，兩臺(tái)防火墻通過(guò)VRRP 實(shí)現(xiàn)路由的備份，設(shè)備沒(méi)有開(kāi)啟雙機(jī)熱備。

假如Trust 區(qū)域的某設(shè)備要去訪問(wèn)Untrust 區(qū)域的資源，TCP 數(shù)據(jù)流第一個(gè)SYN報(bào)文從Firewall 1 轉(zhuǎn)發(fā)出去，當(dāng)Firewall 1 出 現(xiàn) 故障的時(shí)候，F(xiàn)irewall 2 變成Master，而對(duì)方回應(yīng)的SYNACK 到達(dá)Firewall 2 的時(shí)候由于是從Untrust 到Trust區(qū)域，策略默認(rèn)是禁止的，而且設(shè)備本身又沒(méi)有會(huì)話，這個(gè)報(bào)文就會(huì)被丟棄，TCP 連接建立失敗。

圖2 網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)?/p>

但是，TCP 協(xié)議本身有超時(shí)和重傳確認(rèn)機(jī)制，一旦超過(guò)老化時(shí)間，兩端都會(huì)刪除當(dāng)前的TCP 連接，重新發(fā)起建立過(guò)程，此時(shí)，來(lái)回報(bào)文都從Friewall 2 轉(zhuǎn)發(fā)，業(yè)務(wù)正常，除了TCP 或者UDP 等協(xié)議自身存在老化時(shí)間外，大部分上層業(yè)務(wù)系統(tǒng)也有一些重傳和確認(rèn)機(jī)制，當(dāng)?shù)谝淮芜B接失敗后，也能夠重新發(fā)起連接，所以最終也是可以用的。

另外當(dāng)Firewall 1 出現(xiàn) 故 障， Firewall 2 變 成Master 后，如果是新建立的連接，不管是TCP、UDP、ICMP還是其它應(yīng)用，全部都經(jīng)過(guò)Firewall 2 轉(zhuǎn)發(fā)，業(yè)務(wù)是完全沒(méi)有問(wèn)題的。

但是如果兩臺(tái)防火墻采用OSPF 實(shí)現(xiàn)負(fù)載分擔(dān)，比如圖2 中，Trust 區(qū)域的某設(shè)備要去訪問(wèn)Untrust 區(qū)域的資源，TCP 數(shù)據(jù)流第一個(gè)SYN報(bào)文被丟棄之后，TCP 連接建立失敗。盡管TCP 超時(shí)后會(huì)再次發(fā)起連接，但是如果上下兩臺(tái)路由器等價(jià)路由的Hash 方式不變，報(bào)文會(huì)一直按著之前的路徑轉(zhuǎn)發(fā)，TCP 連接就會(huì)一直失敗。

這個(gè)時(shí)候如果兩臺(tái)防火墻開(kāi)啟雙機(jī)熱備，當(dāng)SYN報(bào)文從Firewall 1 轉(zhuǎn)發(fā)出去以后立即把會(huì)話同步給Firewall 2，F(xiàn)irewall 2 收到SYN-ACK 報(bào)文后，由于有會(huì)話，就不會(huì)再去查策略，報(bào)文就能正常轉(zhuǎn)發(fā)。

所以，在兩臺(tái)防火墻完全主備部署的情況之下，即使不使用雙機(jī)熱備，在設(shè)備故障切換時(shí)只是會(huì)影響業(yè)務(wù)的切換時(shí)間，但不會(huì)完全導(dǎo)致業(yè)務(wù)不可用；對(duì)于新建連接，只是增加一次會(huì)話建立時(shí)間，對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)沒(méi)有任何影響。

而當(dāng)兩臺(tái)防火墻做負(fù)載分擔(dān)，而且數(shù)據(jù)流量存在來(lái)回路徑不一致的時(shí)候，防火墻必須開(kāi)啟雙機(jī)熱備功能，這時(shí)就要綜合考慮防火墻的會(huì)話性能了。

不同終端用戶(hù)的路徑選擇

前面說(shuō)過(guò)，我們這次的業(yè)務(wù)是針對(duì)有線電視機(jī)頂盒用戶(hù)的，只允許機(jī)頂盒終端通過(guò)專(zhuān)線去訪問(wèn)點(diǎn)播資源，而網(wǎng)內(nèi)的寬帶用戶(hù)使用的移動(dòng)終端、電腦終端仍然必須通過(guò)公網(wǎng)去訪問(wèn)這些資源。我們網(wǎng)內(nèi)的有線電視機(jī)頂盒終端和電腦終端是分配了不同網(wǎng)段的IP 地址的，這不僅對(duì)機(jī)頂盒終端的安全性有了保障，還為我們區(qū)分用戶(hù)路徑提供了不少方便。

我們?cè)诔隹诼酚善魃显O(shè)置了流策略Traffic Policy，所有機(jī)頂盒終端的源地址去訪問(wèn)指定的目的地址，下一跳都指向了點(diǎn)播系統(tǒng)的出口防火墻。

流策略Traffic Policy分為三部分：

1. 流 分 類(lèi)（Classifier）模板

定義流量類(lèi)型。一個(gè)Classifier 可以配置一條或多條if-match 語(yǔ)句，ifmatch 語(yǔ)句中可以引用ACL規(guī)則。不同的Classifier模板可以應(yīng)用相同的ACL 規(guī)則。一個(gè)ACL 規(guī)則可以配置一個(gè)或多個(gè)Rule 語(yǔ)句。

2.流動(dòng)作（Behavior）模板

用于定義針對(duì)該類(lèi)流量可實(shí)施的流動(dòng)作。一個(gè)Behavior 可以定義一個(gè)或多個(gè)動(dòng)作。

3.流策略（Traffic Poli cy）模板

將流分類(lèi)Classifier 和流動(dòng)作Behavior 關(guān)聯(lián)。當(dāng)Traffic Policy 模板設(shè)置完畢之后，需要將Traffic Policy 模板應(yīng)用到接口上才能使策略生效。

我們先創(chuàng)建一個(gè)ACL 規(guī)則，將指定的源地址和目的地址寫(xiě)進(jìn)去，然后配置流分類(lèi)，執(zhí)行命令traffic classifier classifiername operator and/or precedence x，創(chuàng)建一個(gè)流分類(lèi)并進(jìn)入該視圖，并綁定之前創(chuàng)建的ACL 規(guī)則。

再執(zhí)行命令traffic behavior，創(chuàng)建一個(gè)流動(dòng)作，并設(shè)定動(dòng)作，這里我們?cè)O(shè)置的是下一跳指向點(diǎn)播出口防火墻；然后配置流策略，執(zhí)行命令traffic policy，創(chuàng)建一個(gè)流策略并進(jìn)入流策略視圖，或進(jìn)入已存在的流策略視圖。

最后，在接口或子接口視圖上應(yīng)用流策略，執(zhí)行命令traffic-policy policyname inbound /outbound 就大功告成了。

這里需要注意的是，由于我們的出口路由器是負(fù)載均衡模式，在定義流動(dòng)作的時(shí)候，可以重定向多個(gè)目的地址，具體命令格式會(huì)由于設(shè)備的不同廠家不同軟件版本而不同；并且在定義流策略時(shí)，根據(jù)需要，可以在一個(gè)流策略下匹配多條流分類(lèi)流動(dòng)作以作用到不同的設(shè)備端口上，來(lái)滿(mǎn)足對(duì)不同數(shù)據(jù)流向的控制。

IPSec 通道的建立

我們?cè)诔隹诜阑饓ι辖PSec 通道，作為專(zhuān)線的備份線路。具體配置指令可能不同廠家不同軟件版本的設(shè)備有所不同，但是大致的關(guān)鍵步驟應(yīng)該都是一樣的。

這邊使用的是華為的USG 防火墻，配置指令如下：

[FW]acl 3005

[FW1-acl-adv-3005]rule permit ip source * . * . * . * * . * . * . * d e s t i n a t i o n *.*.*.* *.*.*.* //配置感興趣流

[FW1-acl-adv-3005]ike proposal 1 // 創(chuàng) 建IKE 安全提議，并進(jìn)入IKE 安全提議視圖

[FW1-ike-proposal-1]encryption-algorithm aescbc //配置加密算法

[FW1-ike-proposal-1]authentication-method pre-share //配置認(rèn)證方法

[FW1-ike-proposal-1]authentication-algorithm sha1 //配置認(rèn)證算法

[FW1-ike-proposal-1]dh group1 //配置DH 組標(biāo)識(shí)

[FW1-ike-proposal-1]ike peer a // 創(chuàng) 建IKE Peer，并進(jìn)入IKE Peer 視圖

[FW1-ike-peer-a]ikeproposal 1 //引用已配置的IKE 安全提議

[FW1-ike-peer-a]preshared-key abcdefg // 配置預(yù)共享密鑰認(rèn)證,abcdefg是秘鑰

[F W 1-i k e-p e e r-a]remote-address *.*.*.* //指定對(duì)端發(fā)起IKE 協(xié)商的地址

[FW1-ike-peer-a]ipsec proposal name //創(chuàng)建安全提議，并進(jìn)入安全提議視圖

[FW1-ipsec-proposalname]transform esp // 配置傳送數(shù)據(jù)時(shí)采用的安全協(xié)議

[FW1-ipsec-proposalname]esp authenticationalgorithm sha1 // 配 置ESP 方式采用的認(rèn)證算法

[FW1-ipsec-proposalname]esp encryptionalgorithm aes //配置ESP協(xié)議使用的加密算法

[FW1-ipsec-proposalname]ipsec policy map1 10 isakmp //創(chuàng)建安全策略，并進(jìn)入安全策略視圖

[FW1-ipsec-policyisakmp-map1-10]security acl 3005 //在安全策略中引用已創(chuàng)建的感興趣流

[FW1-ipsec-policyisakmp-map1-10]proposal name //在安全策略中引用已創(chuàng)建的安全提議

[FW1-ipsec-policyisakmp-map1-10]ike-peer a //在安全策略中引用IKE Peer

[FW1-ipsec-policyisakmp-map1-10] interface GigabitEthernet 0/0/1

[FW1-GigabitEthernet0/0/1]ipsec policy map1 //把安全策略應(yīng)用到接口

配置完成以后，使用命令display ike sa 和display ipsec sa 可以查看通道建立的情況，基本上通道兩邊的配置參數(shù)一致的話，就不會(huì)有什么問(wèn)題了。

由于我們?cè)O(shè)置的專(zhuān)線路由的優(yōu)先級(jí)大于IPSec 通道的優(yōu)先級(jí)，只有在專(zhuān)線鏈路中斷之后，數(shù)據(jù)才會(huì)通過(guò)IPSec 通道進(jìn)行傳輸，使得IPSec VPN 既能作為鏈路的有效備份，又不會(huì)干擾業(yè)務(wù)的正常運(yùn)營(yíng)。