陳 棟

(連云港廣播電視大學(xué))

0 引言

隨著我國(guó)高校教學(xué)體制的逐漸延伸和發(fā)展，高等院校不僅承擔(dān)著全日制在校生的教學(xué)任務(wù)，也承擔(dān)著日益增多的成人學(xué)歷教育、社會(huì)培訓(xùn)的教學(xué)任務(wù).一方面，要求高校的各種網(wǎng)上教學(xué)資源和培訓(xùn)資源能夠極大豐富;另一方面，要求高校網(wǎng)絡(luò)接入業(yè)務(wù)能夠具有高可用性，能夠保持網(wǎng)絡(luò)教學(xué)和培訓(xùn)連續(xù)性，能夠保證在校師生和成人業(yè)余學(xué)員高滿意度.由于傳統(tǒng)的單鏈路接入方式往往只基于某一個(gè)運(yùn)營(yíng)商，對(duì)于其他運(yùn)營(yíng)商的互訪就相對(duì)較慢，而且由于單鏈路的不穩(wěn)定性，如果單一鏈路斷開(kāi)或發(fā)生網(wǎng)絡(luò)故障，都會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)對(duì)外服務(wù)的中斷.因此，急需在高校建立一種可以提供持續(xù)性和高可靠性的互聯(lián)網(wǎng)多鏈路接入系統(tǒng).

1 多鏈路接入的優(yōu)勢(shì)

校園網(wǎng)采取多鏈路接入方式，具有如下幾點(diǎn)優(yōu)勢(shì):

(1)鏈路冗余備份.當(dāng)某條接入鏈路失效時(shí)，由其他鏈路快速接管，保證網(wǎng)絡(luò)服務(wù)的持續(xù)性.

(2)最優(yōu)路徑選擇.通過(guò)從不同供應(yīng)商處接入鏈路，可以解決分屬不同網(wǎng)絡(luò)供應(yīng)商的用戶訪問(wèn)校園網(wǎng)速度慢的問(wèn)題，保證網(wǎng)絡(luò)服務(wù)的時(shí)效性.

(3)負(fù)載流量均衡.通過(guò)多條鏈路同時(shí)提供服務(wù)，再將流量在多條鏈路中恰當(dāng)?shù)姆峙?，提高鏈路利用率，防止單條鏈路出現(xiàn)負(fù)載過(guò)大，保證網(wǎng)絡(luò)服務(wù)的高效性.

(4)對(duì)內(nèi)透明接入.無(wú)需改變內(nèi)部用戶的原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，無(wú)需更改內(nèi)網(wǎng)用戶配置，使內(nèi)部用戶能夠平滑過(guò)渡，保證內(nèi)部網(wǎng)絡(luò)用戶的易用性.

2 Sangfor AD在校園網(wǎng)中的部署

2.1 Sangfor AD的部署方式

Sangfor AD是一種集鏈路負(fù)載和智能管理功能于一體的多鏈路接入管理系統(tǒng)，它可以以網(wǎng)橋模式和路由模式部署在網(wǎng)絡(luò)中.其中，網(wǎng)橋模式無(wú)需改變網(wǎng)絡(luò)結(jié)構(gòu)，將設(shè)備以透明模式部署在網(wǎng)絡(luò)中的防火墻之后，可以實(shí)現(xiàn)基本的網(wǎng)絡(luò)負(fù)載均衡等功能;而路由模式是將設(shè)備部署在路由器和防火墻之間，按照預(yù)設(shè)的策略將網(wǎng)絡(luò)流量分配到最佳的鏈路之上，可實(shí)現(xiàn)鏈路負(fù)載和應(yīng)用負(fù)載等功能，是保證用戶體驗(yàn)的最佳方式.

2.2 Sangfor AD的部署拓?fù)鋱D

采用Sangfor AD以路由模式實(shí)現(xiàn)校園網(wǎng)多鏈路接入方案，其網(wǎng)絡(luò)拓?fù)鋱D如圖1所示.

此方式是目前最為典型，功能比較完善的一種校園網(wǎng)多鏈路接入解決方式.通過(guò)部署兩條鏈路保證校園網(wǎng)的網(wǎng)絡(luò)服務(wù)質(zhì)量，可有效的消除由于單點(diǎn)鏈路故障造成的網(wǎng)絡(luò)服務(wù)停機(jī)的情況.圖1中的ISP1、ISP2可以根據(jù)需要選擇兩家不同的網(wǎng)絡(luò)運(yùn)營(yíng)商線路.比如，電信和網(wǎng)通各選用一條鏈路分別作為ISP1和ISP2.

圖1 網(wǎng)絡(luò)拓?fù)鋱D

3 多鏈路接入的配置

以某高校為例，現(xiàn)有兩個(gè)網(wǎng)絡(luò)出口分別為:電信(100 Mbps)，網(wǎng)通(100 Mbps).目前采用如圖1的雙鏈路接入方案.需要進(jìn)行如下配置.

3.1 定義入網(wǎng)接口及帶寬

將NET1定義為接內(nèi)部網(wǎng)絡(luò)的LAN端口，將NET2和NET3分別定義為電信和網(wǎng)通的鏈路接入的WAN端口，輸入由網(wǎng)絡(luò)運(yùn)營(yíng)商所提供的外網(wǎng)公共地址段，并將網(wǎng)口分別命名為“電信”、“網(wǎng)通”.

3.2 配置內(nèi)網(wǎng)靜態(tài)路由

由于該校內(nèi)部網(wǎng)絡(luò)地址為C類地址段(192.168.x.x)，且核心交換地址為192.168.1.2，進(jìn)入“路由配置”－＞“靜態(tài)路由”，做如圖2所示的設(shè)置.

圖2 配置靜態(tài)路由

3.3 設(shè)置代理上網(wǎng)

該校將Sangfor AD以路由模式接入網(wǎng)絡(luò)，所以還必須設(shè)置代理上網(wǎng).進(jìn)入“網(wǎng)絡(luò)配置”－＞“代理上網(wǎng)”，新建“代理上網(wǎng)－電信”和“代理上網(wǎng)－網(wǎng)通”兩條代理策略，如圖3、圖4.

3.4 配置DNS代理

進(jìn)入“網(wǎng)絡(luò)配置”－＞“DNS代理”，將電信和網(wǎng)通的DNS服務(wù)器地址填入，并啟用DNS透明代理.如圖5所示.

圖3 代理上網(wǎng)(電信)

圖4 代理上網(wǎng)(網(wǎng)通)

圖5 配置DNS代理

3.5 配置智能路由

進(jìn)入“路由配置”－＞“智能路由”，除默認(rèn)規(guī)則之外，分別添加“電信走電信”、“網(wǎng)通走網(wǎng)通”兩條規(guī)則，如圖6、圖7.

圖6 智能路由(電信)

3.6 將NET1口接入防火墻的廣域網(wǎng)端口

分別將電信鏈路和網(wǎng)通鏈路連接到NET2和NET3口.

圖7 智能路由(網(wǎng)通)

4 負(fù)載均衡各項(xiàng)功能技術(shù)分析

4.1 校園網(wǎng)內(nèi)部用戶訪問(wèn)外網(wǎng)

DNS透明代理技術(shù)可對(duì)內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò)資源進(jìn)行合理優(yōu)化和配置，Sangfor AD轉(zhuǎn)發(fā)所有由內(nèi)部用戶發(fā)起的DNS請(qǐng)求，然后同時(shí)對(duì)多條鏈路進(jìn)行探測(cè).針對(duì)于該校園網(wǎng)有兩條接入鏈路分別屬于不同的網(wǎng)絡(luò)服務(wù)供應(yīng)商(電信和網(wǎng)通)的情況:通常，按照預(yù)先設(shè)定的好的策略，Sangfor AD會(huì)自動(dòng)判斷鏈路的健康狀況，并據(jù)此將流量分配到某條鏈路.一般來(lái)說(shuō)，內(nèi)部用戶通過(guò)電信鏈路訪問(wèn)電信站點(diǎn)，相對(duì)于通過(guò)網(wǎng)通鏈路訪問(wèn)電信鏈路要快得多.同樣，通過(guò)網(wǎng)通鏈路訪問(wèn)網(wǎng)通站點(diǎn)，也要比通過(guò)電信鏈路訪問(wèn)網(wǎng)通站點(diǎn)要來(lái)得快.但是，如果校園網(wǎng)內(nèi)大部分的用戶訪問(wèn)的都是電信站點(diǎn)，這樣會(huì)造成電信鏈路非常擁堵，而此時(shí)的網(wǎng)通鏈路則比較空閑，如果能夠適當(dāng)?shù)恼{(diào)整一部分電信用戶通過(guò)網(wǎng)通鏈路訪問(wèn)，反而會(huì)使者兩條鏈路的訪問(wèn)都比較快.因此，可以針對(duì)兩條鏈路分別設(shè)置鏈路繁忙利用率閾值來(lái)調(diào)整鏈路的流量方向，保證兩條鏈路帶寬的合理利用和用戶的高速訪問(wèn).在定義網(wǎng)絡(luò)接口及帶寬時(shí)，只需做如圖8所示的設(shè)置，當(dāng)鏈路繁忙比例超過(guò)80%時(shí)，會(huì)將新增的訪問(wèn)請(qǐng)求自動(dòng)切換到另外一條鏈路上.

圖8 鏈路繁忙利用率設(shè)置

4.2 外部用戶訪問(wèn)校園網(wǎng)內(nèi)資源

由校園網(wǎng)外部用戶發(fā)起的對(duì)內(nèi)部服務(wù)器的域名解析請(qǐng)求將逐步通過(guò)外部用戶的DNS服務(wù)器、根 DNS服務(wù)器最終被引向Sangfor AD，并由Sangfor AD根據(jù)動(dòng)態(tài)算法或靜態(tài)設(shè)置在兩條鏈路中選擇最優(yōu)鏈路，最終將內(nèi)部服務(wù)器的域名解析成對(duì)應(yīng)鏈路的IP地址返回給外部用戶.用戶訪問(wèn)流程如下.

現(xiàn)在假設(shè)校園網(wǎng)外的一臺(tái)客戶端需要訪問(wèn)域名為www.xxx.com的校園網(wǎng)內(nèi)服務(wù)器.

第1步:首先外網(wǎng)用戶向其所在運(yùn)營(yíng)商的本地DNS服務(wù)器發(fā)起域名www.xxx.com的解析請(qǐng)求，如圖9中步驟①.

第2步:運(yùn)營(yíng)商的本地DNS服務(wù)器通過(guò)遞歸算法查找到該域名的根DNS服務(wù)器，如圖9中步驟②，根域名服務(wù)器再將該域名請(qǐng)求授權(quán)轉(zhuǎn)發(fā)至Sangfor AD，如圖9中步驟③.

第3步:Sangfor AD接受到請(qǐng)求后，首先查詢?cè)诒镜厥欠裼性撚蛎牡撵o態(tài)表項(xiàng)，如果存在，則直接返回預(yù)先設(shè)置好的那一側(cè)鏈路的服務(wù)器的IP地址給外網(wǎng)客戶端，如圖9中步驟④.

第4步:如果不存在，則執(zhí)行動(dòng)態(tài)判斷算法查詢.Sangfor AD對(duì)服務(wù)器進(jìn)行鏈路健康檢查，再根據(jù)服務(wù)器負(fù)載均衡算法進(jìn)行判斷(例如，通過(guò)統(tǒng)計(jì)當(dāng)前鏈路負(fù)載的連接數(shù)和鏈路繁忙比率)，將對(duì)應(yīng)側(cè)鏈路的IP地址返回給外網(wǎng)用戶，如圖9中步驟⑤.

圖9 外部用戶訪問(wèn)校內(nèi)資源步驟

第5步:校園網(wǎng)網(wǎng)外用戶對(duì)域名為www.xxx.com的服務(wù)器進(jìn)行正常訪問(wèn)，如圖9中步驟⑥.

4.3 服務(wù)器群集系統(tǒng)的負(fù)載均衡技術(shù)

在對(duì)校園網(wǎng)的多鏈路接入的出站和入站流量進(jìn)行負(fù)載均衡時(shí)，也必須對(duì)群集系統(tǒng)中每臺(tái)服務(wù)器實(shí)施訪問(wèn)流量負(fù)載均衡.通過(guò)設(shè)置虛擬IP技術(shù)，使服務(wù)器群集系統(tǒng)具有更好的負(fù)載均衡性能.當(dāng)有用戶請(qǐng)求訪問(wèn)目標(biāo)服務(wù)器時(shí)，通過(guò)算法來(lái)判斷群集中的服務(wù)器性能和網(wǎng)絡(luò)狀況，選擇性能最好的服務(wù)器來(lái)響應(yīng)用戶請(qǐng)求，如圖10.

圖10 群集系統(tǒng)負(fù)載均衡示意圖

針對(duì)于服務(wù)器群集系統(tǒng)的負(fù)載均衡算法主要有以下幾種:

輪詢:是指將用戶請(qǐng)求按照先后順序，循環(huán)發(fā)送到群集系統(tǒng)中的每臺(tái)服務(wù)器上.如果發(fā)現(xiàn)某一臺(tái)服務(wù)器出現(xiàn)故障，將不再對(duì)此服務(wù)器進(jìn)行輪詢.此方法比較適用于群組中各臺(tái)服務(wù)器的處理能力比較接近的情況.

加權(quán)輪詢:加權(quán)輪詢適用于群組中各臺(tái)服務(wù)器處理能力有明顯差別的情況.對(duì)于群組中的每臺(tái)服務(wù)器按照性能分配不同的權(quán)值，權(quán)值高的服務(wù)器優(yōu)先接受用戶請(qǐng)求.此算法中，如果有服務(wù)器發(fā)生故障，將同樣被移除出輪詢隊(duì)列.

加權(quán)最小連接法:此算法依據(jù)當(dāng)前服務(wù)器的活躍連接數(shù)來(lái)決定負(fù)載狀況，當(dāng)有一個(gè)用戶請(qǐng)求被發(fā)送到某臺(tái)服務(wù)器，連接數(shù)增1;當(dāng)訪問(wèn)終止或連接超時(shí)，其連接數(shù)減1.加權(quán)最小連接法也按照服務(wù)器性能為不同的服務(wù)器分配權(quán)值，具有高權(quán)值的服務(wù)器將會(huì)被分配給更多的連接數(shù).

最快響應(yīng)算法:用戶請(qǐng)求被發(fā)送給群組中當(dāng)前響應(yīng)最快的服務(wù)器.

動(dòng)態(tài)反饋算法:根據(jù)服務(wù)器的處理器等設(shè)備的利用率，來(lái)綜合判斷每臺(tái)服務(wù)器的處理能力，將用戶請(qǐng)求優(yōu)先發(fā)送給性能最佳的服務(wù)器.

5 結(jié)束語(yǔ)

校園網(wǎng)的多鏈路負(fù)載均衡技術(shù)，可將大量的內(nèi)網(wǎng)用戶并發(fā)訪問(wèn)請(qǐng)求分擔(dān)到多條鏈路和設(shè)備上，減少了用戶等待時(shí)間.同時(shí)，大量的外網(wǎng)用戶請(qǐng)求可被智能的分配到多個(gè)鏈路和多臺(tái)服務(wù)器上，大幅提升了系統(tǒng)處理能力，為創(chuàng)造良好的網(wǎng)絡(luò)教學(xué)環(huán)境和用戶體驗(yàn)提供了技術(shù)支撐.

［1］ 丁黃望.DDOS攻擊主動(dòng)防御機(jī)制的設(shè)計(jì)［J］.福建電腦，2012(9):12－13.

［2］ 王鵬.互聯(lián)網(wǎng)防御DOS/DDOS攻擊策略研究［J］.郵電設(shè)計(jì)技術(shù)，2012，10:21 －22.

［3］ 張永錚.DDoS攻擊檢測(cè)和控制方法［J］.軟件學(xué)報(bào)，2012(8):18－20.

［4］ 熊俊.應(yīng)用層DDOS攻擊檢測(cè)技術(shù)研究［J］.信息安全與技術(shù)，2012(9):16－17.

［5］ 厲斌.網(wǎng)絡(luò)監(jiān)控與有效防御DDoS攻擊的研究［J］.信息網(wǎng)絡(luò)安全，2013(10):32－34.

［6］ 謝逸.非平穩(wěn)動(dòng)態(tài)行為模型及其在DDoS檢測(cè)中的應(yīng)用［J］.小型微型計(jì)算機(jī)系統(tǒng)，2013(9):25 －28.

［7］ 么利中.DDOS攻擊手段及其防護(hù)研究［J］.科技創(chuàng)新與應(yīng)用，2013，31:12 －14.

［8］ 辛憶培.DDoS攻擊的檢測(cè)算法研究［J］.信息安全與技術(shù)，2013(9):29－31.