首页>解决方案>安全解决方案>MPSec MSG4000多业务安全网关 链路负载均衡解决方案
MPSec MSG4000多业务安全网关 链路负载均衡解决方案

信息时代,工作与网络息息相关。为规避单ISP链路故障带来的网络可用性风险和解决网络带宽不足带来的网络访问问题,企业往往会租用多条ISP链路。此时,企业便需要一种方法能够实现合理运用多条ISP链路,既不造成资源浪费,又能实现网络服务质量的提升。传统的策略路由可以在一定程度上解决该问题,但是策略路由使用复杂,无法动态适应网络结构的变化,也无法对报文进行智能选路。因此,MSG4000推出链路负载均衡技术,来提升用户上网体验。

 

一、MSG4000链路负载均衡技术实现

1.传统出站链路负载均衡技术

等价多径路由:内网访问外网情况下,当路由表中存在多条到达同一目的IP或网段的路由,且路由管理距离相同时,系统可基于五元组、源IP地址或源IP地址+目的IP地址进行选路。

ISP路由:系统预置ISP网段地址信息,内网访问外网时,系统跟据目的地址的 ISP 归属确定下一跳。

使用传统的链路负载均衡技术需要静态配置选路原则以及提前预置ISP路由表,且ISP路由表需要定期更新,增加了管理难度;同时传统链路负载均衡技术虽能达到负载分担的效果,但用户体验差,网络利用率提升效果不明显。针对该问题,MSG4000推出智能链路负载均衡技术(出站动态探测、入站SmartDNS),在弥补传统链路负载均衡技术不足的同时,进一步提高了链路的利用率,提升了用户的访问体验。

 

2. 智能链路负载均衡技术 ——动态探测 

内网和外网之间存在多条链路时,通过MSG4000安全网关的出站动态探测功能,内网访问的流量可以在多条链路上实现智能分担。出站动态探测的典型组网如图1所示。

                             

户向外网目标地址首次发起访问时,系统对只匹配到缺省路由的流量在符合条件的各条链路上进行探测,对响应相对快速的接口生成静态路由,后续报文将直接按照路由转发不再探测;如果生成的静态路由在一定时间内不被命中,则自动老化。出站动态探测的处理流程如图2所示。

 

 

3. 智能链路负载均衡技术——入站SmartDNS

网和外网之间存在多条链路时,通过MSG4000安全网关的入站SmartDNS功能,外网访问的流量可以在多条链路上实现智能分担。入站SmartDNS的典型组网如图3所示。

 


用户首先需要将企业内网服务器对外地址发布的方式更改为域名委派[1],即当有外网用户侧DNS服务器向企业域名服务商的DNS服务器请求客户内网服务器域名解析时,返回域名委派服务器地址(MSG4000安全网关)。MSG4000安全网关预置外网用户侧ISP地址段信息,根据请求的来源确定返回MSG4000安全网关哪个外网接口地址,或根据出站动态探测生成的路由来确定返回MSG4000安全网关哪个外网接口地址。MSG4000安全网关再通过目的地址转换(DNAT)功能帮助外网用户完成对企业内网Web服务的访问。入站SmartDNS的处理流程如图4所示。

 

 

 

二、典型应用

1. 校园网络出口应用(出站动态探测)

通常情况下,校园网络会租用多条ISP链路接入互联网,同时连接教育网,常常造成流量通路繁多复杂,极易引起流量在各条链路上的负载分担不均,导致链路资源利用率低下、网络拥塞。将MSG4000安全网关部署在校园网络出口,可通过出站动态探测功能将流量合理分配到各条链路,从而极大提升链路利用效率和内网用户的网络访问体验。校园网络出口的典型组网如图5所示。

 

 

2. 企业内网Web服务区应用(入站SmartDNS)

国内ISP数量众多且互相访问时速度差异很大,企业为提高访问效率,通常会租用多条ISP链路。然而,当远程办公人员通过多条链路访问企业内网资源时,由于访问地点的差异性,尽管有多条链路提供服务,依然存在流量负载分担不均、链路资源利用率低下的问题。将MSG4000安全网关部署在企业网络出口,可通过入站负载均衡技术将流量合理分配到各条链路,从而极大提升链路利用效率和外网用户访问企业内网Web应用服务的体验。企业内网Web服务区应用的典型组网如图6所示。

 

 

【备注】通常,DNS数据库可分成不同的相关资源记录集。其中的每个记录集称为区域。区域可以包含整个域、部分域或只是一个或几个子域的资源记录。管理某个区域(或记录集)的 DNS 服务器称为该区域的权威名称服务器。每个名称服务器可以是一个或多个区域的权威名称服务器。因此企业可在域名服务商处注册域名和解析地址的对应关系,也可注册域名和专用名称服务器的对应关系,即完成了域名委派。实例如下:首先为test.com新建子域委派,子域名称为web,则完整域名为web.test.com,然后为此子域名添加名称服务器,地址为192.168.1.100,即实现了当web.test.com被访问。

 

关注我们


更多资讯,尽在迈普官方微信