有異地分支機(jī)構(gòu)的中型企業(yè)多鏈路負(fù)載均衡解決方案

目前很多企業(yè)為了提高信息發(fā)布的性能和可靠性，向多個(gè)電信運(yùn)
營商同時(shí)租用互聯(lián)網(wǎng)線路，所以擁有兩條或兩條以上的互聯(lián)網(wǎng)連
接鏈路，這些用戶希望分別通過多條鏈路使用網(wǎng)絡(luò)平臺(tái)和資源，
但是這樣的網(wǎng)絡(luò)出口建設(shè)形式，暴露出以下問題，并亟待解決。
同時(shí)，對(duì)于有一個(gè)或多個(gè)地區(qū)分支機(jī)構(gòu)的公司結(jié)構(gòu)，如果組織和
控制企業(yè)異地分支機(jī)構(gòu)的網(wǎng)絡(luò)接入，讓分支結(jié)構(gòu)享有和公司本部
同樣優(yōu)良的網(wǎng)絡(luò)訪問環(huán)境，統(tǒng)一的訪問控制以及安全性，也成為
一個(gè)需要解決的重大難題。
企業(yè)廣域網(wǎng)鏈路絡(luò)存在的問題：
1、鏈路的單點(diǎn)失效性：
采用單一Internet連接鏈路存在單點(diǎn)失效性，一旦該鏈路出現(xiàn)故障將造成整個(gè)企業(yè)網(wǎng)絡(luò)的癱瘓。
2、鏈路性能的瓶頸：
單一Internet連接鏈路的帶寬資源是有限的，無法滿足企業(yè)內(nèi)部全體用戶對(duì)Internet訪問時(shí)所需的帶寬，
同時(shí)也無法滿足大量的 Internet上的用戶對(duì)企業(yè)的訪問。
3、網(wǎng)絡(luò)安全防護(hù)能力弱：
目前Internet上的各種各樣的網(wǎng)絡(luò)攻擊層出不窮，路由器自身對(duì)網(wǎng)絡(luò)攻擊的防護(hù)能力非常有限，DOS/DDOS
網(wǎng)絡(luò)攻擊會(huì)對(duì)廣域網(wǎng)絡(luò)由器產(chǎn)生嚴(yán)重的影響。
現(xiàn)有的多條鏈路，互相之間沒有聯(lián)系，這就導(dǎo)致了兩條鏈路的完全獨(dú)立，不能互為所用;兩條或多條鏈路分
別獨(dú)立接入，鏈路的占用可能不平均，帶寬不能得到充分的利用;任一條鏈路的中斷都會(huì)影響正常的上網(wǎng)工
作，缺乏容錯(cuò)機(jī)制。
解決方案：
面對(duì)以上問題，應(yīng)該在企業(yè)網(wǎng)絡(luò)出口處部署一臺(tái)梭子魚LinkBalancer 330鏈路負(fù)載均衡器，如下圖所示：
LB330鏈路負(fù)載均衡器部署在企業(yè)內(nèi)部專線路由器之前，H3C路由器通過連接DDN專線，與企業(yè)另外地點(diǎn)的分
支機(jī)構(gòu)互聯(lián)，分支機(jī)構(gòu)通過總部的網(wǎng)通和電信出口統(tǒng)一對(duì)外訪問互聯(lián)網(wǎng)，同時(shí)享有對(duì)內(nèi)部訪問的所有局域
網(wǎng)的便利。
這樣既可以實(shí)現(xiàn)對(duì)多條internet接入鏈路的負(fù)載均衡，又同時(shí)實(shí)現(xiàn)公司所有的outbound流量(內(nèi)部辦公用戶
訪問internet)和 inbound流量(internet用戶訪問內(nèi)部服務(wù)器)雙向的負(fù)載均衡，并且可以根據(jù)智能算法選
擇最優(yōu)路徑，以達(dá)到最佳訪問速度。如果當(dāng)一個(gè)ISP1 出現(xiàn)故障，負(fù)載均衡器可以及時(shí)地檢測(cè)到，并將內(nèi)外
網(wǎng)流量轉(zhuǎn)到ISP2上，網(wǎng)絡(luò)仍然可以正常運(yùn)行。LB330鏈路負(fù)載均衡器支持多達(dá)3條外接鏈路。此外，LB330鏈
路負(fù)載均衡器具備抵御DoS/DDoS的功能，有效地保護(hù)內(nèi)網(wǎng)的服務(wù)器免遭攻擊。
方案特點(diǎn):
1.增加企業(yè)出口帶寬，并提供了廣域網(wǎng)鏈路的冗余。
2.通過智能算法，可通過最優(yōu)路徑實(shí)現(xiàn)內(nèi)外網(wǎng)訪問。
3.可以抵御DoS和 DDoS攻擊有效的保護(hù)內(nèi)網(wǎng)服務(wù)器。
為什么選擇梭子魚：
1、 聚合鏈路帶寬
◆梭子魚鏈路均衡機(jī)能自動(dòng)聚合多個(gè)接入的帶寬，管理員可以選擇性價(jià)比最好的一家或多家接入商的多個(gè)
較低帶寬的接入，以最優(yōu)的投資獲得最好的帶寬保障。.
2、 鏈路冗余
◆如果一條鏈路發(fā)生故障，梭子魚鏈路均衡機(jī)能自動(dòng)的將流量切換到別的正常的鏈路上，而不需要人工操
作。在鏈路故障時(shí)，梭子魚能自動(dòng)周期性的進(jìn)行檢測(cè)，一旦檢測(cè)到這條鏈路恢復(fù)正常，將再次啟用此鏈
路。正因?yàn)樗笞郁~具備鏈路健康檢測(cè)功能，因此能確保鏈路冗余。
3、 帶寬管理和QoS
◆梭子魚鏈路均衡機(jī)提供了帶寬管理功能，對(duì)于不同的應(yīng)用可以設(shè)置不同的優(yōu)先級(jí)，例如：Web瀏覽和郵件
設(shè)置為高優(yōu)先級(jí)保障其帶寬而流媒體及一些點(diǎn)到點(diǎn)(p2p)的應(yīng)用則可配置成低優(yōu)先級(jí)。優(yōu)先級(jí)設(shè)置的靈活性
確保帶寬低優(yōu)先級(jí)的應(yīng)用不會(huì)干擾正常的商務(wù)應(yīng)用。
4、 傳統(tǒng)防火墻(作為一款邊界設(shè)備，梭子魚鏈路均衡機(jī)也具備防火墻的一些功能)：
◆a) 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，該功能使得梭子魚鏈路均衡機(jī)可以隔絕外網(wǎng)到內(nèi)網(wǎng)的某種流量。
◆b) 一對(duì)一的地址映射，一對(duì)一的地址映射允許梭子魚將公網(wǎng)的IP直接分配給某個(gè)內(nèi)網(wǎng)的設(shè)備上，一邊外
網(wǎng)能訪問內(nèi)部的應(yīng)用，如SMTP應(yīng)用。
◆c) 端口轉(zhuǎn)換，同一個(gè)外部地址可以根據(jù)端口轉(zhuǎn)換到不同的內(nèi)部服務(wù)器上;多個(gè)鏈路的同一個(gè)端口也可以
轉(zhuǎn)換到同一臺(tái)內(nèi)部設(shè)備上，這將方便外部到內(nèi)部服務(wù)器的訪問。
◆d) IP 訪問列表，可幫助管理員允許或阻止某個(gè)inbound或outbound流量。
5、梭子魚鏈路均衡機(jī)還提供下列網(wǎng)絡(luò)服務(wù)需求：
◆a) DHCP server，梭子魚鏈路均衡機(jī)根據(jù)DHCP協(xié)議自動(dòng)分配IP地址，和傳統(tǒng)DHCP服務(wù)器一樣，梭子魚上
隨時(shí)可以查看或管理的地址分配表。
◆b) DNS caching server，梭子魚鏈路均衡機(jī)可以配置成DNS查詢服務(wù)器，在開啟了DNS緩存功能后，內(nèi)部
網(wǎng)絡(luò)通過梭子魚可以進(jìn)行解析，如果緩存中沒有解析，梭子魚將代理想ISP的DNS進(jìn)行查詢，并將結(jié)果發(fā)回
給內(nèi)部網(wǎng)絡(luò)，這樣，常用的DNS查詢將在梭子魚上完成。SSL卸載和加速：避免SSL加解密運(yùn)算對(duì)服務(wù)器造成
的額外壓力，提高服務(wù)器的處理能力, 保證HTTPS訪問的高效、安全、可靠