面向多出口的互联网访问方法及系统管理

2014-04-14中国移动通信集团江苏有限公司镇江分公司刘志坚石春磊秦尔楠宋啸天

江苏通信 2014年5期

关键词：接入点数据流局域网

中国移动通信集团江苏有限公司镇江分公司刘志坚石春磊秦尔楠宋啸天

面向多出口的互联网访问方法及系统管理

中国移动通信集团江苏有限公司镇江分公司刘志坚石春磊秦尔楠宋啸天

传统互联网接入方式均是通过专线接入，接入受限于现有物理传输资源，同时缺乏路由保护。介绍了利用多条小带宽出口分散接，并最终汇聚成一条大带宽出口，达到和互联网专线接入的同等效果。

大型局域网；虚拟专用网；负载均衡器

目前大型局域网接入互联网均是通过从运营商机房布放专线接入局域网的核心设备来实现。该方案的主要缺点是：通过专线接入的方式受限于现有物理传输资源，如果传输资源无法到达用户核心机房，将无法接入；同时这种接入方式缺乏路由保护，如果接入的物理线路发生故障，将影响用户的正常使用。

1 多出口互联网访问方案

本次主要研究利用多条小带宽出口分散接入，最终通过技术汇聚成一条大带宽，达到和大带宽专线接入同等的效果。下面结合图1，对本次研究作详细的阐述。

该系统主要由两部分组成：其是支持IPSec（IP安全协议）中IKE（因特网密钥交换）v2版本的防火墙和小型宽带路由器组成的VPN（虚拟专用网）通道，其二是智能负载均衡设备。

1.1 核心技术难点

在本方案中，最大的难点有3个：

1）如何将大量的流量分流到各个互联网出口上，并且根据出口的状态（通或不通）动态的调整各个出口的流量；

2）如何将访问互联网的流量按开通的带宽大小均匀分配到各个出口；

3）分配到各个出口上的流量，如何能准确的送到各个出口，不会被途中的路由器转发到其他地方。

1.2 核心技术解决方案

1.2.1 难点一解决方案

到目前为止，互联网接入点和核心机房的VPN通道已经建立，每个出口的流量也由负载均衡器做了限制，但现在VPN通道仅仅是防火墙和边缘路由器之间建立，如果智能负载均衡设备不知道目前已接通的VPN通道，那就无法正确地将流量指向各个出口，无法实现将大流量分散到各个出口上。为解决这个难题，我们通过IPSec中保护数据流的方式来实现，为每一个小出口定义一个需保护的数据流。

我们单独规划一段私网地址，每个出口一一对应一个私网地址，在边缘路由器配置时，通过创建ACL（访问控制列表）来定义保护的数据流，即该ACL中匹配该出口对应的私网地址，同时在IPSec的安全策略中引用该ACL。这样当边缘路由器和核心防火墙建立IPSec的VPN通道时，防火墙就能得知每个出口需保护的数据流，即数据流的地址是规划的私网地址时，就把数据流送到对应的VPN通道中。在负载均衡器上配置每个出口数据，同时对每个出口的做源地址NAT（网络地址转换），将原有数据包的源地址转换成每个出口定义的私网地址，再将该数据包送到防火墙上。防火墙根据每个数据包的私网地址送入不同的VPN通道，经过加密传输到边缘路由器上，从而实现了访问外网的数据分散到多个出口之上。同时一般的负载均衡器都能配制线路的健康检测，针对每个出口都配置一个健康检测，都是以私网地址为源地址去做每个出口的健康检测，实现对每个出口业务情况的掌控。难点一解决方案见图2。

1.2.2 难点二解决方案

局域网边缘的互联网接入点在接入互联网时，受接入方式的不同或成本的限制，有可能开通的带宽各不相同，如何才能保证各出口的流量不会超过出口的接入带宽。为解决这一难点，在智能负载均衡设备上，配置每条出口时指定最大带宽，限制了智能负载均衡设备将数据转发到每个出口的最大值，保证小带宽出口不会因为流量过大造成拥塞。难点二解决方案见图3。

1.2.3 难点三解决方案

大型局域网是指有多台路由器组成，彼此之间通过动态路由协议交互路由信息，每台设备均维护各自的路由表项。在这种网络环境下，访问互联网的流量途径任意一台路由器时，都有可能被路由器转发到错误接口上。

为了解决这一难点，必须在局域网边缘的互联网接入点和核心机房之间建立端到端的连接，保证流量能被准确的送到互联网接入点。经过研究比对，推荐由互联网接入点的宽带路由器和核心机房内的防火墙使用IPsec来建立VPN通道解决这一难点，同时为简化后期维护压力，建议由互联网接入点的小型宽带路由器主动发起IPSec建立请求。难点三解决方案见图4。

2 实际应用效果

1）使用效果：分别使用电信、联通大小带宽测试网站打开情况，从测试结果来看，小带宽访问网站质量与大带宽近似，使用小带宽出口后访问效果并没有下降。

2）流量使用情况：目前已试点使用了600 Mb/s电信、联通小带宽出口，流量使用比较稳定，可以承载部分大带宽出口流量。

3）经济效益：仅以电信20 Mb/s大小带宽比对相关费用，目前电信大带宽为2 000元/月，一年费用为2.4万元/年，而家庭宽带20 Mb/s费用为0.2万元/年，加上每个接入点的路由器0.2万元，每个20 Mb/s总计需费用为0.4万元，两者宽带租用费用相差6倍。使用该方案可以大大减少集团用户互联网费用的支出。