|
企业网络负载均衡实战解析本文关键字: 网络 互联网的发展使上网成为企业越来越重要的需求,企业上网已经不仅仅是为了建一个网站对企业进行宣传或满足员工对互联网的访问。随着应用水平的提高,企业对互联网的应用早已扩大到电子商务、移动办公人员的VPN拨入、系统的远程维护等关系到企业日常运行的应用。因此在网络建设中不仅要考虑企业上网的安全性,其可靠性和可用性也是必须要考虑的部分。 在我们企业,原有的局域网采用一台PIX525防火墙连接到外部网络,通过防火墙上的四个以太网端口连接与企业网络相关的四个不同安全等级的区域:Inside端口连接企业局域网,Outside端口连接互联网,DMZ1端口连接企业互联网业务服务器集群区域,DMZ2端口连接行业网。从可靠性上看,网络结构存在单点故障。作为网络出口的核心设备,一台防火墙承载着所有应用,不仅负载较大而且没有冗余,一旦出现故障将影响到所有应用。采用一条互联网接入链路也存在着单点故障,ISP网络的连接失效以及互联网接入运营商调整线路、维护等问题都会影响到企业互联网应用的正常运行。从可用性上看,10M的互联网带宽已无法满足企业日益增长的应用需求,而且使用一个ISP的网络会由于各大ISP网间的互联互通问题造成在不同ISP网络之间的应用缓慢或不稳定。针对以上问题,我们选择了负载均衡技术改造网络出口,保障企业上网应用的需求。 需求分析 针对目前存在的问题,并充分考虑企业的实际应用需求,网络出口的负载均衡方案要求实现如下目标: 1.关键设备及链路的负载均衡和故障冗余,并要求网络具有灵活的扩展空间,将来能根据实际应用需求的增长在充分利用现有网络设备和网络拓扑的情况下对网络出口进行扩展。 2.互联网接入的负载均衡和故障冗余,选用两条不同ISP链路,为企业提供服务。两条链路之间要求建立起一定的流量管理机制,能够合理有效地分配两条链路的资源,并在某链路发生故障时自动将其流量切换到另外的链路,自动实现透明容错。当链路恢复时自动将其加入到负载均衡组中,实现VPN拨入的容错功能。 3.智能管理不同ISP提供的网络服务,优化所有的ISP链路。对外访问要求到ISP1的数据由ISP1链路出,返回的数据依然由ISP1的链路回;同样到ISP2的数据也一样。对内访问要求服务器的内网地址能同时映射两个ISP的公网地址,统一域名,远程访问通过动态的DNS来找出目前最合适的ISP连接访问服务器。 技术分解 根据需求分析,我们采用了防火墙集群和多链路负载均衡两个技术方案来实现企业上网的负载均衡。 我们使用两台SG-1000防火墙设置成集群,在防火墙上实现负载均衡和故障冗余。集群节点负载的分配主要根据防火墙CPU的利用率来决定,利用防火墙集群的多链路技术实现了互联网链路的负载均衡和故障冗余(如图1) 。互联网接入采用移动(ISP1)和电信(ISP2)两条当地主要互联网运营商的10M链路,每个ISP都分配给企业网络一个IP地址段。多链路技术提供了高可靠性的ISP连接,解决了ISP单点失效及Internet服务不可靠和反应缓慢等问题.,并同时在流出流量和流入流量间实现两条ISP链路的负载均衡和故障冗余。在正常情况下两条链路上的流量是均衡的,并根据访问的IP地址自动选择最优路径。 对于在防火墙集群DMZ区的对外服务器,每一台服务器定义了一个服务器地址池,一个内网IP映射两个公网的IP,两个IP地址统一域名。防火墙集群定时检测链路,进行DDNS更新。远程访问将通过动态的DNS来找出目前最合适的ISP连接,将数据包发到服务器相应的IP地址上。 移动用户VPN的拨入默认通过ISP1线路进入认证服务器,当ISP1的线路出现问题的时候,VPN客户端自动通过ISP2线路拨入,在双链路之间实现了VPN接入的容错。
责编: 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|