園區網骨干鏈路負載均衡優化方案的設計與實現

◆潘寶春

（1.廣西大學計算機與電子信息學院 廣西 530004；2.右江民族醫學院 廣西 533000）

園區網骨干鏈路負載均衡優化方案的設計與實現

◆潘寶春1，2

（1.廣西大學計算機與電子信息學院 廣西 530004；2.右江民族醫學院 廣西 533000）

本文針對高校網絡建設與管理模式逐步集中的情況，通過分析骨干鏈路負載和運行性能確定壓力瓶頸問題。提出鏈路負載均衡的優化方案并結合現有網絡架構特點設計建設一套行為審計集群，最后給出優化改造后性能測試數據。

負載均衡；高可用；聚合鏈路；冗余

0 引言

右江民族醫學院校園網規?；ㄔO始于2002年，原定位以滿足校區范圍內教學、行政管理業務信息化需求為主。近年來為配合學校發展建設，校園網接入環境經過升級改造實現骨干鏈路統一化，信息出口統一匯總至校信息中心。目前已完整覆蓋教學、行政和師生住宅公寓區三大區域，承載信息化教學、學術科研、行政管理及日?；ヂ摼W接入服務，用戶群包括教師、行政人員和學生在內，日均在線數可達到7000IP。

1 網絡架構現狀

隨著各方面教學和管理活動對網絡依賴程度越來越高，校園網能否保證高效穩定運轉，對學校發展有非常重要的影響?，F有架構方面，本校骨干鏈路主體為兩臺核心交換機通過IRF虛擬化為單臺邏輯設備實現硬件資源統一調度管理，上聯由行為管理器、防火墻與負載均衡器負責承擔出口轉發與防護業務，鏈路拓撲如圖1：

圖1 骨干鏈路拓撲架構現狀

2 運行情況分析

拓撲結構中，邊界負載均衡器、防火墻和行為管理器均為單節點串行橋接鏈路，設備均承擔內網所有數據轉發業務的壓力，可嘗試從帶寬資源利用情況、會話請求數曲線、節點設備負載峰值期性能參數三方面對骨干鏈路業務運行情況進行分析。通過對比鏈路設備業務設計承載容量與實際業務運行情況，確定骨干鏈路拓撲結構中的性能瓶頸。首先基于行為管理器工作于橋接模式對校園網轉發流量及會話請求進行實時審計，如圖2、3所示：

圖2 行為管理器全天轉發流量曲線

圖3 行為管理器全天會話數曲線

可確定每日從22:00至次日01:00為網絡使用高峰期，選取該時段對各節點設備運行數據進行分析可確定設備業務峰值期運行性能占比，如表1:

表1 高峰期節點設備下行轉發業務性能占比

根據所收集數據分析，由負載均衡器下聯往行為管理器方向1Gbp/s容量的光釬鏈路處于入口數據轉發滿負荷狀態，由行為管理器下聯至核心交換機方向2Gbp/s容量聚合光纖鏈路利用率為47%約等于總入口數據轉發量。設備性能利用率方面，除行為管理器外的三個節點均處于CPU性能值偏低位運行，行為管理器在業務峰值時段抽取的15分鐘內CPU性能均處于高負載甚至接近滿負載工作狀態。

3 待解決問題及優化思路

骨干光路缺乏高容量冗余設計，目前總出口容量設計為2Gbps對等光纜同時考慮到今后本校信息化建設的推進出口帶寬勢必有所增加，而現有骨干鏈路環境僅基于單對千兆光路駁接，不能滿足大于2Gbps對等光纜的交換容量需求。并且單對光路由于沒有冗余設計，在實際生產環境當出現光路故障，數據傳輸勢必產生中斷，有可能嚴重影響教學工作。

考慮到上述兩方面需求，首先應采用基于至少兩對千兆光纖鏈路組建節點設備間聚合鏈路組的模式，對接駁介質進行改造優化。在聚合鏈路組技術支持下交換設備主動檢測成員物理端口工作狀態，并根據物理端口負載情況策略均衡報文轉發端口，可充分利用成員物理端口的轉發性能，標準化協商協議同時又能支持設備在預定策略下自行管理維護聚合鏈路[1][2]，在面對如成員端口故障等狀況下聚合組發生變化時仍可自動調整聚合鏈路業務邏輯從而保證數據報文轉發不受影響。

另外，骨干鏈路中行為管理節點承擔全校最高7000ip上下的審計流控任務，用網高峰期其設備性能利用率長時間接近飽和值，單一設備不足以滿足業務增長和應對可能出現的業務波動或泛洪攻擊[3]?；趩捂溌芳軜嫿ㄔO骨干網絡一定程度滿足了過渡期的使用需求，但從長期發展需要和借鑒參考業內園區網建設經驗來看如文獻[4]文獻[5]文獻[6]，需通過采用高可用（HA）[7]及負載均衡（Load Balance）技術構建行為管理集群架構[8][9]提升管理效率。

目前行為管理器采用的是華三H3C ACG-1000E型號設備，設計可支持雙設備主-主工作模式，其通過HA檢測端口發送心跳檢測（Keepalive）檢測報文判斷設備工作環境實現業務負載均衡并與對端共享會話（Session）信息、設備配置和應用特征庫實現行為管理機制高可用。利用上述設備特性，通過新增行為管理設備與原有設備組建行為管理HA集群，下聯至核心交換集群方向設計兩組聚合鏈路組對應接駁至兩臺核心交換機業務端口，實施改造后拓撲調整如圖4：

圖4 改造后骨干鏈路拓撲架構設計

4 實施過程及性能對比

根據設計，原核心交換集群上聯至行為管理器ACG-1000E-1端口GE-0、GE-1的聚合光鏈路結構BAAG-1000保留。新增一組基于兩對千兆聚合光鏈路BAGG-1001接駁至行為管理器ACG-1000E-2業務端口GE-0、GE-1，用于為兩臺行為管理設備實現轉發容量均衡提供端口資源。

邊界負載均衡器下聯往行為管理器方向節點設備間新增聚合鏈路組若干，把改造前物理鏈路劃歸各對應位置的聚合鏈路組中，再分別對各聚合鏈路組添加成員光纖鏈路使聚合組介質容量擴容至≥2Gbps水平。

行為管理集群工作模式沿用改造前的透明橋接模式（Bridging），可通過自動學習機制識別并完善路由信息，在面對其他網絡主機時集群對所有數據幀做無差別透明轉發，其本身加入或退出鏈路的行為對原始三層環境影響較小，同時又能保證數據幀審計和流控的需求。

行為管理集群中，原行為管理器ACG-1000E-1物理端口GE-2、GE-3為上聯聚合組成員端口，改造過程中將端口GE-3從聚合鏈路組agg2中拆分出，保留聚合組agg2聚合業務把新行為管理器ACG-1000E-2的端口GE-2重新加入到聚合組agg2中，形成雙機端口上聯聚合鏈路組。

集群內設備均啟用多機部署功能，各自使用GE-3端口作為通信隧道。通過定時心跳檢測獲取對端設備HA和LB工作狀態，并同步安全審計策略、系統配置和路由信息等數據，所有設備共享統一配置信息從而協調實現硬件資源的負載均衡使用。

對改造后接駁鏈路進行監測，負載狀態如圖5至圖8：

圖5 邊界負載均衡器至防火墻

圖6 邊界防火墻至行為管理集群

圖7 核心交換至行為管理匯聚組1

圖8 核心交換至行為管理匯聚組2

對改造后行為管理器流量轉發業務進行監測，運行狀態如圖9、圖10：

圖9 ACG-1000E-1轉發流量與CPU利用率一小時取樣

圖10 ACG-1000E-2轉發流量與CPU利用率一小時取樣

根據圖5至圖8分析，骨干鏈路設備邊界負載均衡器-防火墻-行為管理集群間接駁聚合光鏈路已運行在2Gbps狀態下，核心交換往行為管理上聯方向通過兩組匯聚鏈路接駁，如圖7、8所示兩組聚合組均衡分擔兩節點間的轉發數據流量負載，鏈路冗余改造完成。

圖9、10波形曲線對比顯示兩張波形圖CPU性能曲線為互補狀態。即隨集群內兩臺物理設備各自性能利用率升降，集群轉發業務處理壓力自動基于HA/Load Balance機制在兩臺物理設備間分攤，當其中一臺設備性能壓力上升較快時另一臺設備自動對轉發業務進行搶占，行為管理集群HA/Load Balance生效。

5 總結

通過對本校網絡骨干鏈路升級改造，自改造完成投入使用至今，校園網出口鏈路業務穩定性得到提升。通過利用鏈路聚合和設備集群化的思想和技術，原有高負荷鏈路節點的業務壓力得到緩解，數據轉發效率得到提升，改造后鏈路架構比原有架構更為健壯，校園網在高峰期運轉環境下基礎網絡訪問業務可得到有效保障。同時鏈路冗余設計對提升校園網安全和完善容災機制起到關鍵作用，也為校園網信息系統安全等級保護認證監管工作提供基礎支持，本架構在今后一段時間內可以很好地承載本校對于信息化建設的需求。

[1]王兆敏, 潘志鵬, 高婷婷等.論鏈路聚合技術——網絡帶寬和可靠性瓶頸解決方法[J].科技尚品, 2015.

[2]蔡惠, 胡嵐.高校校園網雙核心冗余設計與實現[J].電腦編程技巧與維護, 2016.

[3]耿技, 馬新新.對等網絡泛洪DDoS攻擊的防御機制[J].電子科技大學學報, 2009.

[4]林駿澎, 譚吉芳.高可用性企業網絡的改造設計與實施[J].科技廣場, 2013.

[5]王東.VRRP協議實現園區網絡的路由冗余和負載均衡[J].重慶科技學院學報:自然科學版, 2010.

[6]李乃振.構建高可用性專網[J].網絡安全和信息化, 2016.

[7]Gibbs M.High availability and heartbeat[J]. Network World, 2005.

[8]胡章平.集群系統與分布式計算[J].電腦知識與技術：學術交流, 2006.

[9]李鵬.高可用集群系統實時控制管理軟件設計[J].自動化技術與應用, 2016.