链路负载均衡设备选购指南

　　伴随当前Web2.0的发展和网络在企业日常业务经营中所发挥的巨大作用，网络办公、网络运营及对外发布的业务已司空见惯，网络性能受到前所未有的挑战，企业的网络系统所承受的压力也与日俱增。系统的可靠性、安全性以及高可用性都成为确保企业业务管理和办公的关键点。因此，链路的负载均衡和高效利用成为企业IT运维部门当前急需解决的重要问题之一。对此，Radware资深专家给出了链路负载均衡设备选购的几点建议。

　　企业链路负载均衡解决方案需求分析

　　Radware专家指出：一般企业的总部都由两个外网网络出口，例如一个电信线路和一个网通线路，两个网络出口需要解决的问题如下：

　　• 当一条链路故障时，如何自动快速切换，保证内网办公用户访问互联网资源，互联网用户访问到企业内部的服务器资源都不受影响?

　　• 如何实现把内网用户，以及互联网用户导向到服务器质量(QOS)最好的一条链路上，同时考虑网络的Latency ，Load，Hops 三大指标来综合进行链路的智能优选?

　　• 如何实现在互联网上的一些合作方的服务器在限制必须使用现有的电信IP的情况下，访问这些特定服务器时，必须仍然使用电信链路出去?

　　因此，如欲有效解决上述问题，企业所选购的链路负载均衡解决方案或设备需要具备如下功能：

　　• 静态和动态的就近性判断，保证内网的用户以及互联网用户永远都会选择最优最佳服务器质量的链路。

　　• 高级和智能的链路健康检测策略，针对每条链路各选择互联网十个左右的站点作为参照物进行健康检测。最终决定链路的可用性。

　　• 对两条链路进行动态负载均衡，在链路出现故障时实现智能快速的链路切换，保证用户的高可靠性接入。

　　• 在基于上述的智能链路优选的基础之上，必须能够定制特定的策略路由，能够基于源地址，目的地址以及应用来命中特定链路，解决互联网上的一些合作单位的服务器在限制必须使用现有的电信IP的情况下，在增加网通链路之后，在访问这些特定服务器时，必须仍然使用电信链路出去的问题。

　　• 链路负载均衡交换机系统还应具有安全防范能力，升级后可支持对P2P软件数据包的拦截或者带宽限制，例如MSN， BITTORRENT， SKYPE， EDONKEY， KAZAA， EMULE等软件，以节省链路出口带宽。同时可支持应用安全的功能，可以实时过滤不少于1500种目前最流行的病毒，蠕虫，木马，后门等入侵攻击。

　　链路负载均衡设备选购标准

　　根据企业需求，Radware专家认为，优秀的链路负载均衡设备须遵从以下标准：

　　出向流量路径和入向流量路径的优选：在部署一台设备于Internet出口处，实现对两条internet接入链路的负载均衡，可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问数据中心内部服务器)的负载均衡。

　　就近性的算法必须支持动态的和静态的两种：动态就近性判断结果，根据延时，跳数以及链路负载，根据优化的算法，动态的智能的选择最佳链路。也可配置静态的入向和出向的就近性表，使用静态就近性来保证进出的双向流量的智能的动态的就近性选择，即访问不同运营商的服务器，选择相应运营商的Internet链路。大大提高用户访问的服务质量和访问效率。

　　链路健康状态的检测：需要有链路健康检测的机制来保证用户选择的链路一定是一条健康的链路。应不光可以做网络层面的健康检查，也应可以做高级的健康检查，在做健康检查的时候，使用HTTP，DNS，FTP，POP3，SMTP等多种方式来进行健康检查，为了确保健康检查的准确性，例如最多可以选择了国内国外10台不同业务的服务器作为参照物作为健康检查点。链路负载均衡设备应每隔一定时间(缺省10秒钟)，分别通过两条链路对十个站点进行对应的模拟业务访问，如果一个站点连续三次访问不可达，则认为这个站点是不能服务的站点。如果从一条链路出发的十个健康检测站点都不可访问，则这条链路将被认为不能提供服务。但是，只要有一个站点可以通过该ISP线路访问到，就认为该ISP线路可以提供互联网接入服务。

　　智能地址翻译：对于流出流量的智能地址管理，链路负载均衡设备应可以支持多种NAT地址翻译的功能。当选定一个路由器(某一个ISP)传送流出流量时，将选择该ISP提供的地址。同样，如选择ISP2作为流出流量的路径，则它将把内部的主机地址翻译为ISP2，并作为流出数据包的源地址。

　　双机冗余性：由于处在出口关键位置，2台链路负载均衡设备必须支持VRRP协议，使用VRRP实现自身的冗余，2台设备工作在主备模式，做到高可靠性。保证系统中不会出现单点故障，当主设备出现故障时，可以在100ms之内切换到备设备上。保证网络的通畅。

　　典型的应用示例：

　　下图是一个典型的链路负载均衡设备LinkProof解决方案的应用案例。

　　图中多链路网络通过ISP1和ISP2接入Internet。每个ISP都分配给该网络一个IP地址网段，假设ISP1分配的地址段为100.1.1.0/24，ISP2分配的地址段为200.1.1.0/24(此处的200.1.1.0/24表示网络IP地址式200.1.1.0，子网掩码为24位，即255.255.255.0)。同样，Internet知道通过ISP1访问100.1.1.0/24，通过ISP2访问200.1.1.0/24。网络中的主机和服务器都属于私有网段192.168.1.0/24。

　　LinkProof解决方案就是在内部交换机和连接ISP的路由器之间，跨接一台LinkProof智能交换机，所有的地址处理和Internet链路优化全部由LinkProof智能交换机来完成。