互联网的发展使上网成为企业越来越重要的需求,企业上网已经不仅仅是为了建一个网站对企业进行宣传或满足员工对互联网的访问。随着应用水平的提高,企业对互联网的应用早已扩大到电子商务、移动办公人员的VPN拨入、系统的远程维护等关系到企业日常运行的应用。因此在网络建设中不仅要考虑企业上网的安全性,其可靠性和可用性也是必须要考虑的部分。
在我们企业,原有的局域网采用一台PIX525防火墙连接到外部网络,通过防火墙上的四个以太网端口连接与企业网络相关的四个不同安全等级的区域:Inside端口连接企业局域网,Outside端口连接互联网,DMZ1端口连接企业互联网业务服务器集群区域,DMZ2端口连接行业网。从可靠性上看,网络结构存在单点故障。作为网络出口的核心设备,一台防火墙承载着所有应用,不仅负载较大而且没有冗余,一旦出现故障将影响到所有应用。采用一条互联网接入链路也存在着单点故障,ISP网络的连接失效以及互联网接入运营商调整线路、维护等问题都会影响到企业互联网应用的正常运行。从可用性上看,10M的互联网带宽已无法满足企业日益增长的应用需求,而且使用一个ISP的网络会由于各大ISP网间的互联互通问题造成在不同ISP网络之间的应用缓慢或不稳定。针对以上问题,我们选择了负载均衡技术改造网络出口,保障企业上网应用的需求。
需求分析
针对目前存在的问题,并充分考虑企业的实际应用需求,网络出口的负载均衡方案要求实现如下目标:
1.关键设备及链路的负载均衡和故障冗余,并要求网络具有灵活的扩展空间,将来能根据实际应用需求的增长在充分利用现有网络设备和网络拓扑的情况下对网络出口进行扩展。
2.互联网接入的负载均衡和故障冗余,选用两条不同ISP链路,为企业提供服务。两条链路之间要求建立起一定的流量管理机制,能够合理有效地分配两条链路的资源,并在某链路发生故障时自动将其流量切换到另外的链路,自动实现透明容错。当链路恢复时自动将其加入到负载均衡组中,实现VPN拨入的容错功能。
3.智能管理不同ISP提供的网络服务,优化所有的ISP链路。对外访问要求到ISP1的数据由ISP1链路出,返回的数据依然由ISP1的链路回;同样到ISP2的数据也一样。对内访问要求服务器的内网地址能同时映射两个ISP的公网地址,统一域名,远程访问通过动态的DNS来找出目前最合适的ISP连接访问服务器。
技术分解
根据需求分析,我们采用了防火墙集群和多链路负载均衡两个技术方案来实现企业上网的负载均衡。
我们使用两台SG-1000防火墙设置成集群,在防火墙上实现负载均衡和故障冗余。集群节点负载的分配主要根据防火墙CPU的利用率来决定,利用防火墙集群的多链路技术实现了互联网链路的负载均衡和故障冗余(如图1) 。互联网接入采用移动(ISP1)和电信(ISP2)两条当地主要互联网运营商的10M链路,每个ISP都分配给企业网络一个IP地址段。多链路技术提供了高可靠性的ISP连接,解决了ISP单点失效及Internet服务不可靠和反应缓慢等问题.,并同时在流出流量和流入流量间实现两条ISP链路的负载均衡和故障冗余。在正常情况下两条链路上的流量是均衡的,并根据访问的IP地址自动选择最优路径。
对于在防火墙集群DMZ区的对外服务器,每一台服务器定义了一个服务器地址池,一个内网IP映射两个公网的IP,两个IP地址统一域名。防火墙集群定时检测链路,进行DDNS更新。远程访问将通过动态的DNS来找出目前最合适的ISP连接,将数据包发到服务器相应的IP地址上。
移动用户VPN的拨入默认通过ISP1线路进入认证服务器,当ISP1的线路出现问题的时候,VPN客户端自动通过ISP2线路拨入,在双链路之间实现了VPN接入的容错。
在网络边界,我们配置了两台相同配置型号的PIX防火墙(PIX-A和PIX-B)加强安全防护。为了均衡PIX防火墙的负载,提高网络性能,我们改变传统的两台设备之间一主一备的工作模式,实现防火墙之间的Active/Active冗余工作模式。每一台物理防火墙都虚拟出两个逻辑防火墙Fw-a和Fw-b,Fw-a连接ISP1网络,Fw-b连接ISP2网络。PIX-A的Fw-a与PIX-B的Fw-a形成Active/Standby模式,PIX-B的Fw-b与PIX-A的Fw-b形成Active/Standby模式。
把PIX525的IOS升级到7.21以及升级ASDM到5.21,把防火墙设成多容器状态,启用Failover功能。为了Active/Active模式建立两个Failover Group,然后定义虚拟防火墙Fw-a和Fw-b。
以下是引用片段: wr erase start-config mode multiple Failover failover link link Ethernet0 failover interface ip link 10.0.4.1 255.255.255.0 standby 10.0.4.11 failover group 1 primary failover group 2 secondary context Fw-a join-failover-group 1 context Fw-b join-failover-group 2 |
应用效果
负载均衡在网络出口应用之后,提高了企业连接互联网的带宽,实现了设备和链路的冗余,并对网络的流量进行了智能化的管理,从而有效地保障了企业上网的可靠性和可用性。为检验效果,我们以局域网访问互联网为例进行测试,以ISP1本地网站movie.mccly.com和ISP2本地网站为目标进行Tracert测试。图2为两条ISP链路同时连接,负载均衡启用的测试结果显示:到达两个网站的路径都是5hops,延迟小于10ms。图3为断开ISP2链路,单独连接ISP1网络的测试结果:到达ISP1网站的路径和延迟不变,但到达ISP2的路径增加到14hops,延迟为13ms。由两个结果对比可看出,负载均衡为每一个数据包选择了一条最优的路由路径,访问速度得到了优化,提高了网络出口的可用性。
图1 改造后的网络拓扑图
图2 断开ISP2链路,单独连接ISP1网络的测试结果
图3 两条ISP链路同时连接,负载均衡启用的测试结果
【编辑推荐】