企業(yè)網(wǎng)多出口解決方案探討

[摘 要] 指出企業(yè)網(wǎng)采用多出口的必要性即其部署時存在的問題，最后提出解決方案。

[關(guān)鍵詞] 多出口 地址分配 路由 自動切換

隨著互聯(lián)網(wǎng)的快速發(fā)展，特別是在國內(nèi)的高速發(fā)展，使得ISP提供的鏈路的資費也不斷下降，很多的企業(yè)開始考慮多鏈路接入互聯(lián)網(wǎng)從而提高網(wǎng)絡(luò)接入的可用性和可靠性，但在實現(xiàn)過程中會遇到很多問題。

一、多出口的必要性

企業(yè)網(wǎng)為員工和客戶提供7X24的網(wǎng)絡(luò)服務(wù)是至關(guān)重要的，除保證內(nèi)部網(wǎng)絡(luò)、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器的高可用性外，還必須保證出口鏈路的高可用性?，F(xiàn)在絕大多數(shù)的企業(yè)網(wǎng)都采用單鏈路接入互聯(lián)網(wǎng)，這種方法無法保證提供的互聯(lián)網(wǎng)鏈路的7X24可用性，我們可以采用多鏈路接入來避免單鏈路的缺陷，多鏈路有兩種情況：一種是接入同一ISP，另一種是接入不同的ISP，一般是采用接入不同的ISP方法，這種方法在提高可用性的同時，也能增加帶寬而提高網(wǎng)絡(luò)性能，多出口接入的好處是顯而易見的：

1.提高網(wǎng)絡(luò)速度

使用多出口能提高線路總體帶寬，并且通過動態(tài)負(fù)載均衡機制，可以有效地利用線路帶寬，將企業(yè)網(wǎng)內(nèi)的請求動態(tài)均衡地分配到多條線路，避免了一條線路阻塞而另一條線路空閑的局面發(fā)生，提高了企業(yè)網(wǎng)的可用性。

2.線路備份

網(wǎng)絡(luò)的不穩(wěn)定因素很多，其中出口不穩(wěn)定是一個重要因素，接入的單鏈路出現(xiàn)故障，會造成整個網(wǎng)絡(luò)通信中斷。如果有多個出口，在其中一個出口出現(xiàn)故障的時候，可以將上網(wǎng)請求轉(zhuǎn)移到另一出口，保證通信正常，只是會造成暫時的速度降低，但是不會因為其中某條線路故障造成網(wǎng)絡(luò)癱瘓，從而增加企業(yè)網(wǎng)的可靠性。

二、多出口方式部署時存在的問題

多出口雖然可以提高網(wǎng)絡(luò)的可用性和可靠性，但在其部署時存在著一些問題：

1.地址分配問題

企業(yè)網(wǎng)中的計算機只能采用一個地址，有三種方案：一是采用一個ISP的地址，二是采用多ISP的地址，三是采用私有地址。如果采用ISP分配的地址，需要兩個ISP之間相互配合協(xié)作，但在現(xiàn)實中，不同ISP的地址只在其互聯(lián)處可見，而企業(yè)網(wǎng)不可能都接入ISP的最核心層，因此，當(dāng)企業(yè)網(wǎng)同時接入多ISP時，其地址基本上都不能互用，采用某個ISP的地址，從另一個ISP處出去時只能做NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）;若采用私有地址，則無論從哪個出口出去都必須通過NAT。因此，必須采用一種最有效的地址分配方案。

2.路由選擇問題

企業(yè)網(wǎng)和ISP之間一般都采用靜態(tài)路由，ISP只將分配給企業(yè)網(wǎng)的地址路由下來，其余地址都會丟棄，因此核心路由器也必須采用靜態(tài)路由明確指明哪些地址從哪個ISP出去，并且還得保證該路由是最佳的，這樣才能滿足高可用性的需求。

3.故障切換問題

在核心路由器處已經(jīng)明確指明哪些地址從哪個ISP出去，當(dāng)某個ISP鏈路出現(xiàn)故障時，指向它的路由有效但不可達，這樣從該ISP出去的流量就不可到，造成部分網(wǎng)絡(luò)的訪問中斷，只能靠管理員手工修改路由后，這部分網(wǎng)絡(luò)才可達。因此，必須解決故障如何自動切換，這樣才能滿足高可靠性的需求。

4.服務(wù)提供問題

企業(yè)網(wǎng)一般來說都要對互聯(lián)網(wǎng)用戶提供服務(wù)，注冊該服務(wù)器的地址也是個問題，如果只使用一個ISP的地址，則該ISP鏈路中斷時用戶將無法訪問該服務(wù)器，并且位于另一個ISP的用戶訪問服務(wù)器時，速度可能不理想。

三、多出口的解決方案

1.地址分配方案

企業(yè)網(wǎng)內(nèi)的計算機同時只能分配一個IP地址，為了減少出口NAT設(shè)備的負(fù)荷，盡量分配ISP提供的地址，可以混合使用多個ISP提供的地址，不用或少用私有地址。

2.路由選擇方案

在核心路由器上設(shè)置靜態(tài)路由時，分屬哪個ISP的地址路由到對應(yīng)的ISP鏈路，哪些不在接入ISP地址的路由，可根據(jù)動態(tài)測試，選擇一個速度最佳的ISP鏈路做路由，這部分地址的路由可能會隨時變化，才能得到一個最佳的效果。如果企業(yè)網(wǎng)只是提供上網(wǎng)服務(wù)，那采用靜態(tài)路由就可以了，但是，如果要對外服務(wù)，還要采用策略路由，否則，提供的服務(wù)只有某一個ISP的用戶可以訪問，其他ISP的用戶都不能訪問，因為進來有路由，返回的時候路由從其對應(yīng)的ISP出口出去了，ISP一般都做了路由源抑制技術(shù)，如果采用NAT技術(shù)，盡管路由可達，但是這樣就改變了通訊的地址，訪問也不可能進行。并且，在設(shè)置策略路由的時候，范圍要盡量的小，否則，因為策略路由優(yōu)先靜態(tài)路由，會導(dǎo)致服務(wù)器的其他流量通過策略路由，服務(wù)器訪問外網(wǎng)速度不能達到最佳。

3.自動切換方案

現(xiàn)在的路由器很多都提供了鏈路監(jiān)視功能，當(dāng)檢測到相應(yīng)的鏈路出現(xiàn)故障后，都會將對應(yīng)該鏈路的路由標(biāo)記為無效（在路由表中有該路由，只是該路由表無效），因此，可以將到每個目的的路由設(shè)置為多個，分別指向多個ISP的鏈路，只是修改其路由度量值（最佳的鏈路度量值設(shè)為最?。?，再啟用路由監(jiān)視功能。這樣，當(dāng)某個鏈路出現(xiàn)故障，可以實現(xiàn)自動切換到次佳的鏈路上。路由監(jiān)視可以很簡單，也可以很復(fù)雜，有的監(jiān)視器根據(jù)鏈路的狀態(tài)，有的根據(jù)ARP表中對端的地址等等。

4.服務(wù)提供方案

校園網(wǎng)中對應(yīng)某一種服務(wù)，一般來說也只有一臺服務(wù)器來提供服務(wù)，為了使其能在多個ISP網(wǎng)絡(luò)中都可以提供服務(wù)，可以采用多網(wǎng)卡技術(shù)（路由要由服務(wù)器自己來完成），也可以采用在NAT技術(shù)（路由由核心路由器來完成），一般采用后者，簡化設(shè)置。服務(wù)器在多個出口都提供服務(wù)后，可以采用單域名，也可以采用多域名，一般采用單域名（一個域名對應(yīng)多個IP），有兩種方案：一是在域名服務(wù)器解析時循環(huán)解析到不同的IP，這樣可能不能達到外網(wǎng)用戶的高速訪問；二是在域名服務(wù)器解析時根據(jù)不同的用戶IP解析到不同的服務(wù)器IP，這樣可以達到外網(wǎng)用戶高速訪問。

參考文獻:

[1]周明天 汪文勇:TCP/IP網(wǎng)絡(luò)原理與技術(shù).北京:清華大學(xué)出版社，1993

[2]葛建立 吳劍章譯:TCP/IP路由技術(shù).北京:人民郵電出版社， 2006

[3]蘇金樹:Internet使用手冊.北京:國防科技大學(xué)出版社，1997