陈 栋
(连云港广播电视大学)
随着我国高校教学体制的逐渐延伸和发展,高等院校不仅承担着全日制在校生的教学任务,也承担着日益增多的成人学历教育、社会培训的教学任务.一方面,要求高校的各种网上教学资源和培训资源能够极大丰富;另一方面,要求高校网络接入业务能够具有高可用性,能够保持网络教学和培训连续性,能够保证在校师生和成人业余学员高满意度.由于传统的单链路接入方式往往只基于某一个运营商,对于其他运营商的互访就相对较慢,而且由于单链路的不稳定性,如果单一链路断开或发生网络故障,都会导致整个网络对外服务的中断.因此,急需在高校建立一种可以提供持续性和高可靠性的互联网多链路接入系统.
校园网采取多链路接入方式,具有如下几点优势:
(1)链路冗余备份.当某条接入链路失效时,由其他链路快速接管,保证网络服务的持续性.
(2)最优路径选择.通过从不同供应商处接入链路,可以解决分属不同网络供应商的用户访问校园网速度慢的问题,保证网络服务的时效性.
(3)负载流量均衡.通过多条链路同时提供服务,再将流量在多条链路中恰当的分配,提高链路利用率,防止单条链路出现负载过大,保证网络服务的高效性.
(4)对内透明接入.无需改变内部用户的原有网络拓扑结构,无需更改内网用户配置,使内部用户能够平滑过渡,保证内部网络用户的易用性.
Sangfor AD是一种集链路负载和智能管理功能于一体的多链路接入管理系统,它可以以网桥模式和路由模式部署在网络中.其中,网桥模式无需改变网络结构,将设备以透明模式部署在网络中的防火墙之后,可以实现基本的网络负载均衡等功能;而路由模式是将设备部署在路由器和防火墙之间,按照预设的策略将网络流量分配到最佳的链路之上,可实现链路负载和应用负载等功能,是保证用户体验的最佳方式.
采用Sangfor AD以路由模式实现校园网多链路接入方案,其网络拓扑图如图1所示.
此方式是目前最为典型,功能比较完善的一种校园网多链路接入解决方式.通过部署两条链路保证校园网的网络服务质量,可有效的消除由于单点链路故障造成的网络服务停机的情况.图1中的ISP1、ISP2可以根据需要选择两家不同的网络运营商线路.比如,电信和网通各选用一条链路分别作为ISP1和ISP2.
图1 网络拓扑图
以某高校为例,现有两个网络出口分别为:电信(100 Mbps),网通(100 Mbps).目前采用如图1的双链路接入方案.需要进行如下配置.
将NET1定义为接内部网络的LAN端口,将NET2和NET3分别定义为电信和网通的链路接入的WAN端口,输入由网络运营商所提供的外网公共地址段,并将网口分别命名为“电信”、“网通”.
由于该校内部网络地址为C类地址段(192.168.x.x),且核心交换地址为192.168.1.2,进入“路由配置”->“静态路由”,做如图2所示的设置.
图2 配置静态路由
该校将Sangfor AD以路由模式接入网络,所以还必须设置代理上网.进入“网络配置”->“代理上网”,新建“代理上网-电信”和“代理上网-网通”两条代理策略,如图3、图4.
进入“网络配置”->“DNS代理”,将电信和网通的DNS服务器地址填入,并启用DNS透明代理.如图5所示.
图3 代理上网(电信)
图4 代理上网(网通)
图5 配置DNS代理
进入“路由配置”->“智能路由”,除默认规则之外,分别添加“电信走电信”、“网通走网通”两条规则,如图6、图7.
图6 智能路由(电信)
分别将电信链路和网通链路连接到NET2和NET3口.
图7 智能路由(网通)
DNS透明代理技术可对内部用户访问外部网络资源进行合理优化和配置,Sangfor AD转发所有由内部用户发起的DNS请求,然后同时对多条链路进行探测.针对于该校园网有两条接入链路分别属于不同的网络服务供应商(电信和网通)的情况:通常,按照预先设定的好的策略,Sangfor AD会自动判断链路的健康状况,并据此将流量分配到某条链路.一般来说,内部用户通过电信链路访问电信站点,相对于通过网通链路访问电信链路要快得多.同样,通过网通链路访问网通站点,也要比通过电信链路访问网通站点要来得快.但是,如果校园网内大部分的用户访问的都是电信站点,这样会造成电信链路非常拥堵,而此时的网通链路则比较空闲,如果能够适当的调整一部分电信用户通过网通链路访问,反而会使者两条链路的访问都比较快.因此,可以针对两条链路分别设置链路繁忙利用率阈值来调整链路的流量方向,保证两条链路带宽的合理利用和用户的高速访问.在定义网络接口及带宽时,只需做如图8所示的设置,当链路繁忙比例超过80%时,会将新增的访问请求自动切换到另外一条链路上.
图8 链路繁忙利用率设置
由校园网外部用户发起的对内部服务器的域名解析请求将逐步通过外部用户的DNS服务器、根 DNS服务器最终被引向Sangfor AD,并由Sangfor AD根据动态算法或静态设置在两条链路中选择最优链路,最终将内部服务器的域名解析成对应链路的IP地址返回给外部用户.用户访问流程如下.
现在假设校园网外的一台客户端需要访问域名为www.xxx.com的校园网内服务器.
第1步:首先外网用户向其所在运营商的本地DNS服务器发起域名www.xxx.com的解析请求,如图9中步骤①.
第2步:运营商的本地DNS服务器通过递归算法查找到该域名的根DNS服务器,如图9中步骤②,根域名服务器再将该域名请求授权转发至Sangfor AD,如图9中步骤③.
第3步:Sangfor AD接受到请求后,首先查询在本地是否有该域名的的静态表项,如果存在,则直接返回预先设置好的那一侧链路的服务器的IP地址给外网客户端,如图9中步骤④.
第4步:如果不存在,则执行动态判断算法查询.Sangfor AD对服务器进行链路健康检查,再根据服务器负载均衡算法进行判断(例如,通过统计当前链路负载的连接数和链路繁忙比率),将对应侧链路的IP地址返回给外网用户,如图9中步骤⑤.
图9 外部用户访问校内资源步骤
第5步:校园网网外用户对域名为www.xxx.com的服务器进行正常访问,如图9中步骤⑥.
在对校园网的多链路接入的出站和入站流量进行负载均衡时,也必须对群集系统中每台服务器实施访问流量负载均衡.通过设置虚拟IP技术,使服务器群集系统具有更好的负载均衡性能.当有用户请求访问目标服务器时,通过算法来判断群集中的服务器性能和网络状况,选择性能最好的服务器来响应用户请求,如图10.
图10 群集系统负载均衡示意图
针对于服务器群集系统的负载均衡算法主要有以下几种:
轮询:是指将用户请求按照先后顺序,循环发送到群集系统中的每台服务器上.如果发现某一台服务器出现故障,将不再对此服务器进行轮询.此方法比较适用于群组中各台服务器的处理能力比较接近的情况.
加权轮询:加权轮询适用于群组中各台服务器处理能力有明显差别的情况.对于群组中的每台服务器按照性能分配不同的权值,权值高的服务器优先接受用户请求.此算法中,如果有服务器发生故障,将同样被移除出轮询队列.
加权最小连接法:此算法依据当前服务器的活跃连接数来决定负载状况,当有一个用户请求被发送到某台服务器,连接数增1;当访问终止或连接超时,其连接数减1.加权最小连接法也按照服务器性能为不同的服务器分配权值,具有高权值的服务器将会被分配给更多的连接数.
最快响应算法:用户请求被发送给群组中当前响应最快的服务器.
动态反馈算法:根据服务器的处理器等设备的利用率,来综合判断每台服务器的处理能力,将用户请求优先发送给性能最佳的服务器.
校园网的多链路负载均衡技术,可将大量的内网用户并发访问请求分担到多条链路和设备上,减少了用户等待时间.同时,大量的外网用户请求可被智能的分配到多个链路和多台服务器上,大幅提升了系统处理能力,为创造良好的网络教学环境和用户体验提供了技术支撑.
[1] 丁黄望.DDOS攻击主动防御机制的设计[J].福建电脑,2012(9):12-13.
[2] 王鹏.互联网防御DOS/DDOS攻击策略研究[J].邮电设计技术,2012,10:21 -22.
[3] 张永铮.DDoS攻击检测和控制方法[J].软件学报,2012(8):18-20.
[4] 熊俊.应用层DDOS攻击检测技术研究[J].信息安全与技术,2012(9):16-17.
[5] 厉斌.网络监控与有效防御DDoS攻击的研究[J].信息网络安全,2013(10):32-34.
[6] 谢逸.非平稳动态行为模型及其在DDoS检测中的应用[J].小型微型计算机系统,2013(9):25 -28.
[7] 么利中.DDOS攻击手段及其防护研究[J].科技创新与应用,2013,31:12 -14.
[8] 辛忆培.DDoS攻击的检测算法研究[J].信息安全与技术,2013(9):29-31.